Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Perl Archive::Tar : Vulnérabilité de Traversée de Répertoires


06/11/2007 12H52
Référence Secunia : SA27539 
Date de publication : 2007-11-06

Risque : Non Critique. Niveau 2 sur 5.
Impact : Accès au système
Lieu : A distance


Solutions :
Non corrigée


Produit :
Archive::Tar 1.x (module pour Perl)

Référence CVE :
CVE-2007-4829


Description :
Une vulnérabilité a été rapportée dans le module Archive::Tar Perl qui pourrait être exploitée par des personnes malintentionnées pour compromettre un système vulnérable.

La vulnérabilité est causée du fait d'une erreur de validation d'entrée en extrayant des archives tar. Cela pourrait être exploité pour extraire des fichiers à des endroits arbitraires en dehors du répertoire spécifié avec les permissions de l'utilisateur faisant tourner une application en utilisant le module à extract tar fichiers via une séquence de traversée de répertoires dans une archive tar spécialement conçue.


Solutions :
Ne pas utiliser Archive::Tar à extract des archives tar non-fiables.


Vulnérabilité découverte par :

Jonathan Smith, rPath

Référence :
http://rt.cpan.org/Public/Bug/Display.html?id=29517




Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20080521 Gentoo mise à jour pour perl et libperl
20080501 Fedora mise à jour pour perl Imager
20080327 Mandriva mise à jour pour perl Tk
20080321 Mandriva mise à jour pour perl Net DNS
20080312 Perl NetDNS Module Reponse DNS Déni de Service
20071106 Perl Regular Expressions Unicode Data Buffer Overflow
20071106 Perl ArchiveTar Vulnérabilité de Traversée de Répertoires
20070717 rPath mise à jour pour perl Net DNS
20070713 Mandriva mise à jour pour perl Net DNS
20070712 Red Hat mise à jour pour perl Net DNS
20070627 Perl NetDNS Module Deux Vulnérabilités
20060127 Mandriva mise à jour pour perl Net SSLeay
20051201 Perl Explicit Format Parameter Index Dépassement d'Entier
20051027 Mandriva mise à jour pour perl Compress Zlib
20051017 Gentoo mise à jour pour perl qt unixodbc cmake
20050906 Fedora mise à jour pour perl DBI
20050504 Perl NetSSLeay Module Entropy Source Manipulation
20050427 Perl ConvertUUlib Module Vulnérabilité de Dépassement de Tampon
20050309 Ubuntu mise à jour pour perl modules
20050309 Perl FilePathrmtree Directory Permissions Race Condition
20050203 Perl PERLIO DEBUG Vulnérabilités d'Elévation de Privilèges
20050202 Red Hat mise à jour pour perl DBI
20050127 Perl DBI ProxyServer pm Création Non Sécurisée de Fichiers Temporaires
20050127 Gentoo mise à jour pour perl dbi
20041226 Perl FilePathrmtree Race Condition
20041221 PERL CryptECB Module ASCII 0 Encoding Faille de Sécurité
20041028 Perl Multiple Scripts Création Non Sécurisée de Fichiers Temporaires Vulnérabilités
20040406 Perl win32 stat Function Vulnérabilité de Dépassement de Tampon
 
Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés
formation sécurité informatiqe