Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (09.02.2017):
Für openSUSE Leap 42.2 steht ein Sicherheitsupdate bereit.
Version 1 (01.02.2017):
Neues Advisory

Betroffene Software:

Rubygem Minitar < 0.6 Betroffene Plattformen: Debian Linux 8.7 Jessie openSUSE Leap 42.2 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle mit Hilfe eines .. (Punkt Punkt) in einem entpackten Dateinamen ausnutzen, um während der Extraktion eines TAR-Archives beliebige Dateien in einem Verzeichnis außerhalb des Archivpfades zu überschreiben. Für die stabile Distribution Debian Jessie steht ein Backport-Sicherheitsupdate zur Behebung der Schwachstelle bereit. Patch: Debian Security Advisory DSA-3778-1 https://www.debian.org/security/2017/dsa-3778

Patch:

openSUSE Security Update openSUSE-SU-2017:0429-1

http://lists.opensuse.org/opensuse-updates/2017-02/msg00047.html

CVE-2016-10173: Schwachstelle in Rubygem Minitar ermöglicht Manipulation von
Dateien

In Rubygem Minitar (‘rubygem-archive-tar-minitar’) vor Version 0.6 existiert
eine Schwachstelle beim Entpacken von TAR-Archiven aufgrund einer
unzureichenden Bereinigung von Inhalten, durch die eine Traversierung von
Verzeichnissen (Directory Traversal) möglich ist, falls der Tarball eine
relative Verzeichnisreferenz beinhaltet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0183/

Schwachstelle CVE-2016-10173 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10173

Debian Security Advisory DSA-3778-1:
https://www.debian.org/security/2017/dsa-3778

openSUSE Security Update openSUSE-SU-2017:0429-1:
http://lists.opensuse.org/opensuse-updates/2017-02/msg00047.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.