1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200603-06 / tar |
| Date de Parution | 10 Mars 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| app-arch/tar | <= 1.15.1-r1 | >= 1.15.1-r1 | Toutes |
3. Synopsis
Un dépassement de buffer dans GNU Tar peut être exploité et entraîner l'exécution d'une portion de code arbitraire.
4. Informations
GNU Tar est un utilitaire permettant de créer, d'extraire et de manipuler des archives au format TAR, communément répandues sur le système GNU/Linux.
5. Description
Jim Meyering a découvert une faille dans la gestion de certains champs de l'en-tête des fichiers Tar pouvant être exploitée lors du listing ou de l'extraction du contenu d'une archive.
6. Impact de la faille
En faisant ouvrir par un utilisateur une archive Tar spécifiquement forgée, un attaquant peut faire exécuter par GNU Tar une portion de code arbitraire avec les privilèges utilisateurs de sa victime.
7. Solution de contournement
Il n'existe aucune solution de contournement a l'heure actuelle.
8. Correction de la faille
Les utilisateurs du GNU Tar doivent mettre à jour ce dernier
# emerge --sync # emerge --ask --oneshot --verbose ">=app-arch/tar-1.15.1-r1"
9. Références