Vulnerability Bulletins |
Vulnerabilidad de directorio transversal en GNU Tar |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Integridad |
Dificulty | Experto |
Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | GNU Tar |
Description |
|
Se ha descubierto una vulnerabilidad en GNU Tar. La vulnerabilidad reside en un fallo de validación de los directorios que se extraen del fichero comprimido. Un atacante remoto podría realizar un ataque de directorio transversal y sobrescribir ficheros arbitrarios sobre los que tenga permiso tar mediante un fichero ".tar" especialmente diseñado. |
|
Solution |
|
Actualización de software Red Hat Red Hat Desktop (v. 3) Red Hat Enterprise Linux AS (v. 2.1) Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux ES (v. 2.1) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux WS (v. 2.1) Red Hat Enterprise Linux WS (v. 3) Red Hat Linux Advanced Workstation 2.1 Itanium https://rhn.redhat.com/ Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux SGI Advanced Linux Environment 3 / RPM / Patch 10279 ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/RPMS Advanced Linux Environment 3 / SRPM / Patch 10279 ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/SRPMS |
|
Standar resources |
|
Property | Value |
CVE | CVE-2005-1918 |
BID | |
Other resources |
|
Red Hat Security Advisory (RHSA-2006:0195-8) https://rhn.redhat.com/errata/RHSA-2006-0195.html SUSE Security Advisory (SUSE-SR:2006:005) http://www.novell.com/linux/security/advisories/2006_05_sr.html SGI Security Advisory (20060301-01-U) ftp://patches.sgi.com/support/free/security/advisories/20060301-01.U.asc |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2006-02-22 |
1.1 | Aviso emitido por Suse (SUSE-SR:2006:005) | 2006-03-06 |
1.2 | Aviso emitido por SGI (20060301-01-U) | 2006-03-10 |