Vigil@nce : Perl Archive-Tar, création de fichier hors de la racine
janvier 2009 par Vigil@nce
SYNTHÈSE
Un attaquant peut créer une archive TAR illicite afin de forcer
Archive-Tar à créer des fichiers hors de la racine.
Gravité : 1/4
Conséquences : création/modification de données
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 31/12/2008
PRODUITS CONCERNÉS
– Fedora
– Unix - plateforme
DESCRIPTION
Le module Archive-Tar permet de manipuler des archives TAR en
langage Perl.
Cependant, ce module ne vérifie pas si l’archive contient ’../’,
ce qui permet à un attaquant de créer des fichiers sur le système.
Un attaquant peut donc créer une archive TAR illicite afin de
forcer Archive-Tar à créer des fichiers hors du répertoire
d’extraction.
CARACTÉRISTIQUES
Références : 295021, BID-26355, CVE-2007-4829, FEDORA-2008-11736,
VIGILANCE-VUL-8364