| 网管联盟 | 网管论坛 | 网管u家 | 网管博客 | 网管软件 | 网管求职 | 小游戏 | 网管搜索 | 网管原创 | 网管聚合 | 网管读摘 | 网管焦点 | 世界素材 | 会员投稿 | 会员中心 |
|
| Windows Linux Cisco 网络技术 数据库 黑客攻防 DotNet Java PHP 认证 新闻资讯 服务器 存储资讯 网络设备 网管学堂 技术专题 焦点 网吧频道 |
涉及程序:
GNU tar
描述:
GNU Tar contains_dot_dot函数远程目录遍历漏洞
详细:
GNU tar可创建和解压tar文档,并进行各种存档文件管理。 网管联盟bitsCN@com
GNU tar在处理符号链接时存在漏洞,本地攻击者可能利用此漏洞提升权限或破坏文件。 网管下载dl.bitscn.com
GNU tar的contains_dot_dot函数没有正确地检查目录符号链接的名称,恶意用户所创建tar文档可以写入运行GNU tar的用户可写访问的任意文件。
<*来源:Tomas Hoger (thoger@redhat.com)
网管网www.bitscn.com
链接:http://bugzilla.redhat.com/bugzilla/long_list.cgi?buglist=251921
http://secunia.com/advisories/26573/
https://www.redhat.com/support/errata/RHSA-2007-0860.html
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-07:10.gtar.asc
https://www.redhat.com/support/errata/RHSA-2007-0873.html
*>
网管下载dl.bitscn.com
受影响系统:
GNU tar <= 1.15.91
攻击方法:
暂无有效攻击代码
解决方案:
厂商补丁:
网管联盟bitsCN@com
FreeBSD
-------
FreeBSD已经为此发布了一个安全公告(FreeBSD-SA-07:10)以及相应补丁:
FreeBSD-SA-07:10:gtar directory traversal vulnerability
链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-07:10.gtar.asc 网管网www_bitscn_com
补丁下载: 网管u家u.bitsCN.com
1) 将有漏洞的系统升级到5-STABLE,或修改日期之后的RELENG_5_5安全版本。 网管u家u.bitscn@com
2) 为当前系统打补丁:
以下补丁确认可应用于FreeBSD 5.5系统。 网管bitscn_com
a) 从以下位置下载相关补丁,并使用PGP工具验证附带的PGP签名。
# fetch http://security.FreeBSD.org/patches/SA-07:10/gtar.patch
# fetch http://security.FreeBSD.org/patches/SA-07:10/gtar.patch.asc
b) 以root执行以下命令: 中国网管论坛bbs.bitsCN.com
# cd /usr/src
# patch < /path/to/patch
# cd /usr/src/gnu/usr.bin/tar
# make obj && make depend && make && make install
网管u家u.bitsCN.com
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2007:0860-01)以及相应补丁:
RHSA-2007:0860-01:Moderate: tar security update
链接:https://www.redhat.com/support/errata/RHSA-2007-0860.html
网管bitscn_com
|
0
|
评论加载中…
