Skip to content

Security Advisory 中(Moderate):tarのセキュリティアップデート

アップデートID:

RHSA-2007:0860-2

タイプ:Security Advisory
重大性:中/Moderate
発行日:2007年8月23日
最終更新日:2007年8月23日
影響のある製品: Red Hat Desktop (v. 4)
Red Hat Enterprise Linux (v. 5 server)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux Desktop (v. 5 client)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 4)
OVAL: https://rhn.redhat.com/errata/RHSA-2007-0860.html
CVEs (cve.mitre.org): CVE-2007-4131

詳細

パス横断の欠陥を修正したtarのアップデートパッケージが利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています。

GNU tarプログラムは多くのファイルを1つのアーカイブとして保存し、そのアーカイブから個々のファイル(またはすべてのファイル)を復元できます。

GNU tarがアーカイブを抽出する処理で、パス横断の欠陥が発見されました。GNU tar を実行するユーザが書き込みアクセス権を持っている任意のファイルに対して書き込みを行うtarアーカイブを作成できます。(CVE-2007-4131)

レッドハットは、この問題の報告についてDmitry V. Levin氏に感謝します。

tarのユーザは、この問題を修正する交換バックポートパッチを含む上記アップデートパッケージにアップグレードしてください。


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

Red Hat Desktop (v. 4)
SRPMS:
tar-1.14-12.5.1.RHEL4.src.rpm     4cfff37413ea6e3705c1c6626e3dc4d2
 
IA-32:
tar-1.14-12.5.1.RHEL4.i386.rpm     87969426d39204739ccb8d167175f6ff
 
x86_64:
tar-1.14-12.5.1.RHEL4.x86_64.rpm     253c53990cc612781107e07fb2f96a56
 
Red Hat Enterprise Linux (v. 5 server)
SRPMS:
tar-1.15.1-23.0.1.el5.src.rpm     71404af2e3ee182ae0ceb49c5022c25a
 
IA-32:
tar-1.15.1-23.0.1.el5.i386.rpm     bef674d7f4a7c2b8ab199f3b0e4ffbf4
 
IA-64:
tar-1.15.1-23.0.1.el5.ia64.rpm     e286f927ee594d632a89aed5e84c466d
 
PPC:
tar-1.15.1-23.0.1.el5.ppc.rpm     1425da0fe798ccbbd6955fad756a0b3e
 
s390x:
tar-1.15.1-23.0.1.el5.s390x.rpm     2befefb377c312ca3331d20bab123354
 
x86_64:
tar-1.15.1-23.0.1.el5.x86_64.rpm     4e4d8558cf8ee07dcb764b68686754e5
 
Red Hat Enterprise Linux AS (v. 4)
SRPMS:
tar-1.14-12.5.1.RHEL4.src.rpm     4cfff37413ea6e3705c1c6626e3dc4d2
 
IA-32:
tar-1.14-12.5.1.RHEL4.i386.rpm     87969426d39204739ccb8d167175f6ff
 
IA-64:
tar-1.14-12.5.1.RHEL4.ia64.rpm     7b87e3117a4462f7474c6552e0754950
 
PPC:
tar-1.14-12.5.1.RHEL4.ppc.rpm     19d17b1237ac535046610b151a89056e
 
s390:
tar-1.14-12.5.1.RHEL4.s390.rpm     60663a237022be37edee7aaa4cdeb0a0
 
s390x:
tar-1.14-12.5.1.RHEL4.s390x.rpm     d6256b8644864ff2c04d8c5c68360b4f
 
x86_64:
tar-1.14-12.5.1.RHEL4.x86_64.rpm     253c53990cc612781107e07fb2f96a56
 
Red Hat Enterprise Linux Desktop (v. 5 client)
SRPMS:
tar-1.15.1-23.0.1.el5.src.rpm     71404af2e3ee182ae0ceb49c5022c25a
 
IA-32:
tar-1.15.1-23.0.1.el5.i386.rpm     bef674d7f4a7c2b8ab199f3b0e4ffbf4
 
x86_64:
tar-1.15.1-23.0.1.el5.x86_64.rpm     4e4d8558cf8ee07dcb764b68686754e5
 
Red Hat Enterprise Linux ES (v. 4)
SRPMS:
tar-1.14-12.5.1.RHEL4.src.rpm     4cfff37413ea6e3705c1c6626e3dc4d2
 
IA-32:
tar-1.14-12.5.1.RHEL4.i386.rpm     87969426d39204739ccb8d167175f6ff
 
IA-64:
tar-1.14-12.5.1.RHEL4.ia64.rpm     7b87e3117a4462f7474c6552e0754950
 
x86_64:
tar-1.14-12.5.1.RHEL4.x86_64.rpm     253c53990cc612781107e07fb2f96a56
 
Red Hat Enterprise Linux WS (v. 4)
SRPMS:
tar-1.14-12.5.1.RHEL4.src.rpm     4cfff37413ea6e3705c1c6626e3dc4d2
 
IA-32:
tar-1.14-12.5.1.RHEL4.i386.rpm     87969426d39204739ccb8d167175f6ff
 
IA-64:
tar-1.14-12.5.1.RHEL4.ia64.rpm     7b87e3117a4462f7474c6552e0754950
 
x86_64:
tar-1.14-12.5.1.RHEL4.x86_64.rpm     253c53990cc612781107e07fb2f96a56
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

251921 - CVE-2007-4131 tar directory traversal vulnerability


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4131
http://www.redhat.com/security/updates/classification/#moderate

キーワード


path, symlink, traversal

ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/