Säkerhetsbulletin från Debian
DSA-3562-1 tardiff -- säkerhetsuppdatering
- Rapporterat den:
- 2016-05-01
- Berörda paket:
- tardiff
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-0857, CVE-2015-0858.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i tardiff, ett verktyg för att jämföra tarbollar. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2015-0857
Rainer Mueller och Florian Weimer upptäckte att tardiff är sårbar för skalkommandoinjicering via skalmetatecken i filnamn i tarfiler eller via skalmetatecken i namnet på tarfilen.
- CVE-2015-0858
Florian Weimer upptäckte att tardiff använder förutsägbara temporära mappar för att packa upp tarbollar. En illasinnad användare kan utnyttja denna brist för att skriva över filer med samma rättigheter som användaren som kör kommandoradsverktyget tardiff.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 0.1-2+deb8u2.
För den instabila utgåvan (Sid) har dessa problem rättats i version 0.1-5 och delvis i tidigare versioner.
Vi rekommenderar att ni uppgraderar era tardiff-paket.
- CVE-2015-0857