DFN-CERT

Advisory-Archiv

2018-1111: Perl Modul Archive::Tar: Eine Schwachstelle ermöglicht einen Directory-Traversal-Angriff

Historie:

Version 1 (2018-06-11 12:30)
Neues Advisory
Version 2 (2018-06-12 13:51)
Für Debian Jessie (oldstable) 8.10 und Stretch (stable) 9.4 stehen nun ebenfalls Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 3 (2018-06-14 10:52)
Für Ubuntu 12.04 ESM, 14.04 LTS, 16.04 LTS, 17.10 und 18.04 LTS stehen Sicherheitsupdates für 'perl' bereit, mit denen die Schwachstelle behoben wird.
Version 4 (2018-06-22 16:17)
Das OpenBSD-Projekt stellt für OpenBSD 6.3 und 6.2 Patches (Errata) als Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 5 (2018-07-17 14:46)
Für das SUSE Linux Enterprise Module for Development Tools 15 und das SUSE Linux Enterprise Module for Basesystem 15 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'perl' bereit.
Version 6 (2018-07-19 18:41)
Für SUSE Linux Enterprise Software Development Kit 11 SP4, Server 11 SP4 und 11 SP3 LTSS sowie Debuginfo 11 SP3 und 11 SP4 stehen Sicherheitsupdates für 'perl' zur Behebung der Schwachstelle bereit.
Version 7 (2018-07-20 11:00)
Für openSUSE Leap 15.0 und openSUSE Leap 42.3 stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 8 (2019-08-07 18:36)
Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für 'perl-Archive-Tar' bereit. Die Updates stehen damit unter anderem für die Produktvarianten Red Hat Enterprise Linux for Scientific Computing, Desktop, Server und Workstation in Version 7 zur Verfügung.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux
UNIX

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle im Perl Modul 'Archive::Tar' ausnutzen und mit Hilfe einer speziell präparierte Archiv-Datei die Sicherheitsvorkehrungen des Moduls umgehen (Directory-Traversal-Angriff) und so beliebige Dateien überschreiben oder verändern, wenn die Datei symbolische Links sowie eine reguläre Datei mit dem gleichen Namen enthält.

Fedora stellt für Fedora 27 und 28 die Pakete 'perl-Archive-Tar-2.28-1.fc27' und 'perl-Archive-Tar-2.28-1.fc28' im Status 'testing' zur Behebung der Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2018-12015

Schwachstelle in Perl Modul Archive::Tar ermöglicht Directory-Traversal-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.