Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

GNU tar GNUTYPES_NAMES Record Type : Faille de Sécurité

28/11/2006 12H04
Référence Secunia : SA23115  
Date de publication : 2006-11-28

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Manipulation de données
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
GNU Tar 1.x

Référence CVE :
CVE-2006-6097

Description :
Teemu Salmela a rapporté une faille de sécurité dans GNU tar, qui pourrait être exploitée par des personnes malintentionnées pour sur-écrire des fichiers arbitraires.

Le problème de sécurité est causé du fait que la fonction "extract_archive()" dans extract.c et "extract_mangle()" dans mangle.c traite encore le type d'enregistrement "GNUTYPE_NAMES" contenant des liens symboliques. Cela pourrait être exploité pour sur-écrire des fichiers arbitraires par ex. en incitant un utilisateur à décompresser un fichier tar spécialement conçu.

Le problème de sécurité est rapporté en version 1.15.1 et 1.16. Les autres versions pourraient également être affectées.


Solutions :
Ne pas extraire d'archives non fiables.

Vulnérabilité découverte par :

Teemu Salmela

Référence :
http://archives.neohapsis.com/archives/fulldisclosure/2006-11/0344.html

https://savannah.gnu.org/bugs/index.php?18355





Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.