Risque
- Exécution de code arbitraire
Systèmes affectés
GNU tar version 1.15.1 et versions antérieures.
Description
Une vulnérabilité a été découverte dans GNU tar. Cette vulnérabilité peut être exploitée par l'intermédiaire d'un fichier .tar malicieusement construit, afin d'exécuter des commandes arbitraires par le biais d'un débordement de mémoire.
Solution
La version 1.15.90 (alpha) corrige cette vulnérabilité.
Documentation
- Bulletin de mise à jour de GNU tar http://lists.gnu.org/archive/html/bug-tar/2006-02/msg00051.html
- Bulletin de sécurité Debian DSA-987 du 07 mars 2006 : http://www.debian.org/security/dsa-987
- Bulletin de sécurité FreeBSD pour gtar du 03 mars 2006 : http://www.vuxml.org/freebsd/pkg-gtar.html
- Bulletin de sécurité Gentoo GLSA 200603-06 du 10 mars 2006 : http://www.gentoo.org/security/en/glsa/glsa-200603-06.xml
- Bulletin de sécurité Mandriva MDKSA-2006:046 du 21 février 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:046
- Bulletin de sécurité RedHat RHSA-2006:0232 du 01 mars 2006 : http://rhn.redhat.com/errata/RHSA-2006-0232.html
- Bulletin de sécurité SUSE SUSE-SR:2006:005 du 03 mars 2006 : http://www.novell.com/linux/security/advisories/2006_05_sr.html
- Bulletin de sécurité Ubuntu USN-257-1 du 23 février 2006 : http://www.ubuntu.com/usn/usn-257-1
- Référence CVE CVE-2006-0300 https://www.cve.org/CVERecord?id=CVE-2006-0300