[security-announce] IA: new tar and unzip packages available

ALT Security Team =?iso-8859-1?q?security_=CE=C1_altlinux=2Eorg?=
Вт Окт 1 16:50:34 MSD 2002


Обнаружена уязвимость в некоторых версиях архиваторов tar и unzip.

Реализация алгоритма обхода файлового дерева в tar < 1.13.25-alt1 и
unzip <= 5.42 при распаковке архива не проверяет в достаточной степени
входные данные, что с помощью файловых архивов специального вида может
быть использовано потенциальным злоумышленником для получения доступа к
произвольным файлам файловой системы с правами процесса, выполняющего
распаковку архива.

С более подробной информацией на эту тему можно ознакомится по адресу
http://online.securityfocus.com/archive/1/293544/2002-09-28/2002-10-04/0

Мы рекомендуем всем пользователям уязвимых версий tar и unzip обновить
пакеты до исправленных версий.

Обновления для дистрибутивов ALT Linux доступны по следующим адресам:

+ Для дистрибутива Linux-Mandrake RE Spring 2001:
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Spring2001/SRPMS/tar-1.13.25-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Spring2001/SRPMS/unzip-5.50-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Spring2001/i586/RPMS/tar-1.13.25-alt1.1.i586.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Spring2001/i586/RPMS/unzip-5.50-alt1.1.i586.rpm

+ Для бета-версии дистрибутива ALT Linux Castle:
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Castle/SRPMS/tar-1.13.25-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Castle/SRPMS/unzip-5.50-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Castle/i586/RPMS/tar-1.13.25-alt1.1.i586.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Castle/i586/RPMS/unzip-5.50-alt1.1.i586.rpm

+ Для дистрибутива ALT Linux MSI Edition 1.1:
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/MSI/SRPMS/tar-1.13.25-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/MSI/SRPMS/unzip-5.50-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/MSI/i586/RPMS/tar-1.13.25-alt1.1.i586.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/MSI/i586/RPMS/unzip-5.50-alt1.1.i586.rpm

+ Для дистрибутива ALT Linux Junior 1.1:
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Junior/SRPMS/tar-1.13.25-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Junior/SRPMS/unzip-5.50-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Junior/i586/RPMS/tar-1.13.25-alt1.1.i586.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Junior/i586/RPMS/unzip-5.50-alt1.1.i586.rpm

+ Дистрибутивы ALT Linux Master 2.0, ALT Linux Junior 2.0, а также
репозитарий ALT Linux Sisyphus содержат версии программ tar и unzip, не
подверженные уязвимости, о которой шла речь выше.

Обновление можно производить автоматически с помощью apt-get.


--
ALT Security Team
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/security-announce/attachments/20021001/e1173d63/attachment-0003.bin>


Подробная информация о списке рассылки Security-announce