Рекомендация Debian по безопасности
DSA-4255-1 ant -- обновление безопасности
- Дата сообщения:
- 24.07.2018
- Затронутые пакеты:
- ant
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2018-10886.
- Более подробная информация:
-
Дэнни Грэндер сообщил, что задачи unzip и untar в ant, инструменте сборки типа make на основе Java, позволяют извлекать файлы за пределы целевого каталога. Злоумышленник может использовать эту уязвимость, передавая специально сформированный архив Zip или Tar команде ant build для перезаписи любого файла, на запись в который имеются права у пользователя, запустившего ant.
В стабильном выпуске (stretch) эта проблема была исправлена в версии 1.9.9-1+deb9u1.
Рекомендуется обновить пакеты ant.
С подробным статусом поддержки безопасности ant можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/ant