LINUX.ORG.RU

Уязвимость в архиваторе GNU tar

 ,


1

1

В программе для архивации GNU tar обнаружена уязвимость, позволяющая выполнить запись файлов за пределами указанной директории.

Таким образом, можно заменить ключи SSH или файл .bashrc, а при выполнении от привилегированного пользователя возможно заместить системные файлы или получить права root.

>>> Технические детали атаки

>>> Багтрекер Debian



Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 7)

В программе для архивации GNU tar обнаружена уязвимость, позволяющая выполнить запись файлов за пределами указанной директории.

Зачем новости пишешь, если не умеешь? Какой директории?

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от slapin

Если имена содержат .., они обходят общий фильтр,

Не, не обходят. Просто фильтр применяется к тем путям, которые содержатся в архиве, а не к тем, которые будут использоваться при распаковке.

То есть это баг, но безопасноть тут притянута за уши, скорее неудобство в использовании.

Да это даже и баг то с большой натяжкой.

Deleted
()
Ответ на: комментарий от Deleted

Да это даже и баг то с большой натяжкой.

Смысл архиватора, как и любой программы по работе с файлами в том, чтобы быть прозрачным и понятным . В этом плане это баг.

Другое дело, что надо сильно постараться на этот баг нарваться. То есть сам себе злобный буратино.

AVL2 ★★★★★
()
Ответ на: комментарий от X-Pilot

Это тот самый, что создаёт архивы, которые потом с кракозябрами открываются на не-виндовс устройствах?

anonymous
()
Ответ на: комментарий от anonymous

емнип у zip нет кодировки, так что это общая проблема.

anc ★★★★★
()
Ответ на: комментарий от anonymous

«Это тот самый, что создаёт архивы, которые потом с кракозябрами открываются на не-виндовс устройствах?»

Это даже не архивы, там нет сжатия.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.