Boletines de Vulnerabilidades |
Vulnerabilidad de directorio transversal en GNU Tar |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Integridad |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | GNU/Linux |
| Software afectado | GNU Tar |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en GNU Tar. La vulnerabilidad reside en un fallo de validación de los directorios que se extraen del fichero comprimido. Un atacante remoto podría realizar un ataque de directorio transversal y sobrescribir ficheros arbitrarios sobre los que tenga permiso tar mediante un fichero ".tar" especialmente diseñado. |
|
Solución |
|
|
Actualización de software Red Hat Red Hat Desktop (v. 3) Red Hat Enterprise Linux AS (v. 2.1) Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux ES (v. 2.1) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux WS (v. 2.1) Red Hat Enterprise Linux WS (v. 3) Red Hat Linux Advanced Workstation 2.1 Itanium https://rhn.redhat.com/ Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux SGI Advanced Linux Environment 3 / RPM / Patch 10279 ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/RPMS Advanced Linux Environment 3 / SRPM / Patch 10279 ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/SRPMS |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2005-1918 |
| BID | |
Recursos adicionales |
|
|
Red Hat Security Advisory (RHSA-2006:0195-8) https://rhn.redhat.com/errata/RHSA-2006-0195.html SUSE Security Advisory (SUSE-SR:2006:005) http://www.novell.com/linux/security/advisories/2006_05_sr.html SGI Security Advisory (20060301-01-U) ftp://patches.sgi.com/support/free/security/advisories/20060301-01.U.asc |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2006-02-22 |
| 1.1 | Aviso emitido por Suse (SUSE-SR:2006:005) | 2006-03-06 |
| 1.2 | Aviso emitido por SGI (20060301-01-U) | 2006-03-10 |