Обход каталога при извлечении tar архивов в Python

Дата публикации:
05.09.2007
Дата изменения:
28.01.2008
Всего просмотров:
1621
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Python 2.5.x
Уязвимые версии: Python 2.5

Описание: Обнаруженные уязвимости в tarfile модуле в Python позволяют злонамеренному пользователю скомпрометировать уязвимую систему.

Ошибка обнаружена при извлечении данных из tar архивов. Уязвимость позволяет извлечь данные в произвольное местоположение вне определенного каталога с разрешениями приложения, которое использует модуль tarfile, используя последовательность обхода каталога "../" или специально обработанные символьные ссылки в специально созданном tar архиве.

URL производителя: bugs.python.org/issue1044

Решение: Не пользуйтесь архивами из недоверенных источников.


или введите имя

CAPTCHA