security w PLD
Piotr Meyer
aniou w root.pl
Śro, 20 Mar 2002, 20:00:10 CET
On 20 Mar 2002, Arkadiusz Miskiewicz wrote:
> ps. jeszcze gzip
Właśnie wpadło mi w oko:
[...]
Note that all versions of UnZip prior to 5.50 (i.e., 5.42 and earlier)
have a directory-traversal vulnerability that allows them to unpack files
in unexpected places. Specifically, if an archive contains files with
leading "/" characters (i.e., relative to the root directory) or with ".."
components ("previous directory level"), UnZip will unpack the files in
the indicated locations, possibly creating directory trees in the
process--and, if the -o ("overwrite") option is given, quietly destroying
existing files outside the intended directory tree. This bug is fixed in
5.50 and later,
[...]
Ktoś się orientuje, jaki jest status tego buga u nas? Przed chwilą
zaciągnąłem src.rpma i u nas jest w wersji 5.42. Łaty nie wyglądają
na takie, coby coś z tym związanego łatały...
Pozdrawiam,
Piotr 'aniou' Meyer
Więcej informacji o liście dyskusyjnej pld-devel-pl