S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 août 2007
N° CERTA-2007-AVI-377
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans GNU tar

Gestion du document

Référence CERTA-2007-AVI-377
Titre Vulnérabilité dans GNU tar
Date de la première version24 août 2007
Date de la dernière version07 décembre 2009
Source(s) Bulletin de sécurité Redhat RHSA-2007:0860 du 23 août 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • GNU tar versions antérieures à 1.18 ;
  • OpenSolaris sur SPARC de svn_01 à svn _115 ;
  • OpenSolaris sur x86 de svn_01 à svn_11.
  • Solaris 10 sur SPARC sans le patch 139099-03 ;
  • Solaris 10 sur x86 sans le patch 139100-03 ;
  • Solaris 9 sur SPARC ;
  • Solaris 9 sur x86 ;

Résumé

Une vulnérabilité de GNU tar permet de contourner la politique de sécurité.

Description

Un manque de vérification de certains attributs d'une archive tar permet à un utilisateur malveillant d'extraire des fichiers ou des dossiers contenus dans l'archive vers des emplacements arbitraires. Un utilisateur exploitant cette vulnérabilité peut contourner la politique de sécurité en créant ou en écrasant des données sensibles.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 24 août 2007
    version initiale.
    le 07 octobre 2008
    ajout des références aux bulletins de sécurité Gentoo, Debian, Mandriva, SuSE, Ubuntu, FreeBSD et Avaya.
    le 07 décembre 2009
    ajout des références au bulletin de sécurité Sun 1-66-273551-1 du 02 décembre 2009.