URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 36101
[ Назад ]

Исходное сообщение
"OpenNews: Уязвимость в GNU tar"
Отправлено opennews , 30-Ноя-06 10:30

В утилите GNU tar обнаружена (http://secunia.com/advisories/23115/) уязвимость, используя которую злоумышленник может скомпоновать tar архив, при распаковке которого некоторые файлы могут быть записаны в пространство вне текущего корня (например, раскрывая архив под пользователем root в /home/test/tmp, можно переписать /etc/passwd).
URL: http://secunia.com/advisories/23115/
Новость: http://www.opennet.me/opennews/art.shtml?num=9030

Содержание

Уязвимость в GNU tar,ЛехаПриродистый, 10:30 , 30-Ноя-06
Уязвимость в GNU tar,Flyheart, 12:25 , 30-Ноя-06
Уязвимость в GNU tar,Serg, 04:58 , 01-Дек-06
Уязвимость в GNU tar,Fill_Quazy, 11:07 , 01-Дек-06
- Уязвимость в GNU tar,leon55, 11:37 , 01-Дек-06

Сообщения в этом обсуждении

"Уязвимость в GNU tar"
Отправлено ЛехаПриродистый , 30-Ноя-06 10:30

Вот это ДА! интерестно а в cpio тоже, есть такая загагулина? кто знает, подскажите , буду ждать, заранее спасибо.

"Уязвимость в GNU tar"
Отправлено Flyheart , 30-Ноя-06 12:25

Ещё один огромный камень в огород, работающих под root.

"Уязвимость в GNU tar"
Отправлено Serg , 01-Дек-06 04:58

Это та же уязвимость которая была во FreeBSD не так давно, или это уже следующая?

"Уязвимость в GNU tar"
Отправлено Fill_Quazy , 01-Дек-06 11:07

А зачем таким корявым образом переписывать /etc/passwd если под рутом это и так можно сделать?!

"Уязвимость в GNU tar"
Отправлено leon55 , 01-Дек-06 11:37

у тебя есть права рута .. ты распаковываешь и "редактируешь" этим самым пассвд.
А злоумышленнику иметь рутшелл для этого не обязательно ,) это я так понял изложенное.