Debians sikkerhedsbulletin
DSA-3562-1 tardiff -- sikkerhedsopdatering
- Rapporteret den:
- 1. maj 2016
- Berørte pakker:
- tardiff
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-0857, CVE-2015-0858.
- Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i tardiff, et værktøj til sammenligning af tarballs. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-0857
Rainer Mueller og Florian Weimer opdagede at tardiff var sårbar over for indsprøjtning af shell-kommandoer via shell-metategn i filnavne i tarfiler eller via shell-metategn i tarfilnavnene selv.
- CVE-2015-0858
Florian Weimer opdagede at tardiff anvender forudsigelige midlertidige mapper til udpakning af tarballs. En ondsindet bruger kunne udnytte fejlen til at overskrive filer med rettighederne hørende til brugeren, der kører kommandolinjeværktøjet tardiff.
I den stabile distribution (jessie), er disse problemer rettet i version 0.1-2+deb8u2.
I den ustabile distribution (sid), er disse problemer rettet i version 0.1-5 og delvist i tidligere versioner.
Vi anbefaler at du opgraderer dine tardiff-pakker.
- CVE-2015-0857