PufferĂĽberlauf in GNU-tar (Update)
Das Archivwerkzeug tar des GNU-Projekts enthält einen Fehler, durch den Angreifer über präparierte tar-Archive ein System kompromittieren könnten.
Das Archivwerkzeug tar des GNU-Projekts enthält einen Fehler, durch den Angreifer über präparierte tar-Archive ein System kompromittieren könnten. Mit einer neuen Version schließen die Programmierer die Lücke.
Beim Verarbeiten von Headern mit einer so genannten PAX-Erweiterung kann ein Pufferüberlauf in tar eintreten, durch den eingeschmuggelter Code zur Ausführung kommen könnte. PAX (portable archive interchange) ist eine Implementierung eines Archivierungstools der Posix-Arbeitsgruppe und sollte nach ihrer Vorstellung tar ablösen; PAX kann Archive schreiben, die etwa von tar oder cpio lesbar sind.
Betroffen von dem Fehler, der durch simples Entpacken von manipulierten tar-Archiven (auch .tar.gz/.tgz und .tar.bz2/.tbz) ausgelöst werden kann, sind die Versionen von 1.14 bis 1.15.1. Die Programmierer legen die Entwickler-Version 1.15.90 nach, die den Fehler zwar beseitigt, jedoch als alpha und somit nicht stabil markiert ist.
Siehe dazu auch: (dmk)
- Homepage mit Downloads von GNU-tar
- AnkĂĽndigung mit Changelog der alpha-Version 1.15.90
