Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03749

Опубликовано: 12 сент. 2016
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Средний

Описание

Уязвимость функции safer_name_suffix архиватора GNU Tar существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти предполагаемый механизм защиты и произвести запись в произвольные файлы в результате неправильной очистки параметра file_name

Вендор

ФГУП РФЯЦ-ВНИИЭФ
The GNU Project
ООО «Ред Софт»

Наименование ПО

Синергия
GNU Tar
РЕД ОС

Версия ПО

1.1.8-3.1+ogun1+cert4 (Синергия)
от 1.14 до 1.29 включительно (GNU Tar)
до 7.2 Муром (РЕД ОС)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Для GNU Tar:
Обновление до версии 1.29-r1 или новее
Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром
Для ОС Синергия:
Ограничить доступ пользователей к каталогу с архиватором GNU Tar

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.11143
Средний

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-6321

CVSS3: 7.5
ubuntu
около 9 лет назад

Directory traversal vulnerability in the safer_name_suffix function in GNU tar 1.14 through 1.29 might allow remote attackers to bypass an intended protection mechanism and write to arbitrary files via vectors related to improper sanitization of the file_name parameter, aka POINTYFEATHER.

redhat логотип

CVE-2016-6321

redhat
больше 9 лет назад

Directory traversal vulnerability in the safer_name_suffix function in GNU tar 1.14 through 1.29 might allow remote attackers to bypass an intended protection mechanism and write to arbitrary files via vectors related to improper sanitization of the file_name parameter, aka POINTYFEATHER.

nvd логотип

CVE-2016-6321

CVSS3: 7.5
nvd
около 9 лет назад

Directory traversal vulnerability in the safer_name_suffix function in GNU tar 1.14 through 1.29 might allow remote attackers to bypass an intended protection mechanism and write to arbitrary files via vectors related to improper sanitization of the file_name parameter, aka POINTYFEATHER.

debian логотип

CVE-2016-6321

CVSS3: 7.5
debian
около 9 лет назад

Directory traversal vulnerability in the safer_name_suffix function in ...

suse-cvrf логотип

openSUSE-SU-2016:3003-1

suse-cvrf
около 9 лет назад

Security update for tar

EPSS

Процентиль: 93%
0.11143
Средний

7.5 High

CVSS3

7.8 High

CVSS2