2017-0183: Rubygem Minitar: Eine Schwachstelle ermöglicht die Manipulation von Dateien

Historie:

Version 1 (2017-02-01 13:28)

Neues Advisory

Version 2 (2017-02-09 13:48)

Für openSUSE Leap 42.2 steht ein Sicherheitsupdate bereit.

Version 3 (2021-01-14 09:15)

Für SUSE Linux Enterprise Module for Containers 12 steht ein Sicherheitsupdate für 'rubygem-archive-tar-minitar' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Datensicherung
Sonstiges
Systemsoftware

Betroffene Plattformen

Linux
Hypervisor

Beschreibung:

Ein Angreifer kann die Schwachstelle lokal ausnutzen, mittels der Zeichenfolge '..' (Punkt Punkt) in einem entpackten Dateinamen, um während der Extraktion eines Tar-Archives beliebige Dateien in einem Verzeichnis außerhalb des Archiv-Pfades zu überschreiben. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.

Für die stabile Distribution Debian Jessie steht ein Backport-Sicherheitsupdate zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2016-10173

Schwachstelle in Rubygem Minitar ermöglicht Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.