Säkerhetsbulletin från Debian
DSA-3702-1 tar -- säkerhetsuppdatering
- Rapporterat den:
- 2016-11-01
- Berörda paket:
- tar
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 842339.
I Mitres CVE-förteckning: CVE-2016-6321. - Ytterligare information:
-
Harry Sintonen upptäckte att GNU tar inte hanterar medlemsnamn ordentligt om de innehåller '..', vilket tillåter en angripare att förbigå sökvägsnamnen som specificerats på kommandoraden och ersätta filer och mappar i målmappen.
För den stabila utgåvan (Jessie) har detta problem rättats i version 1.27.1-2+deb8u1.
För den instabila utgåvan (Sid) har detta problem rättats i version 1.29b-1.1.
Vi rekommenderar att ni uppgraderar era tar-paket.