CERTA

Centre d'Expertise gouvernemental de
Réponse et de Traitement des Attaques informatiques

Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

Recherche

Rechercher un document

Les documents du CERTA

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

Les Flux RSS du CERTA

Flux RSS complet
Flux RSS des alertes
Flux RSS SCADA

CERTA-2006-AVI-092

Communauté CERT

À propos du CERTA

Archives du CERTA

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 mars 2006
N^o CERTA-2006-AVI-092-003

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilité de GNU tar

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-092

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2006-AVI-092-003
Titre	Vulnérabilité de GNU tar
Date de la première version	24 février 2006
Date de la dernière version	13 mars 2006
Source(s)	Bulletin de mise à jour de GNU tar
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire.

2 Systèmes affectés

GNU tar version 1.15.1 et versions antérieures.

3 Description

Une vulnérabilité a été découverte dans GNU tar. Cette vulnérabilité peut être exploitée par l'intermédiaire d'un fichier .tar malicieusement construit, afin d'exécuter des commandes arbitraires par le biais d'un débordement de mémoire.

4 Solution

La version 1.15.90 (alpha) corrige cette vulnérabilité.

5 Documentation

Bulletin de mise à jour de GNU tar :

http://lists.gnu.org/archive/html/bug-tar/2006-02/msg00051.html

Bulletin de sécurité Mandriva MDKSA-2006:046 du 21 février 2006 :
```
http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:046
```
Bulletin de sécurité Ubuntu USN-257-1 du 23 février 2006 :
```
http://www.ubuntu.com/usn/usn-257-1
```
Bulletin de sécurité RedHat RHSA-2006:0232 du 01 mars 2006 :
```
http://rhn.redhat.com/errata/RHSA-2006-0232.html
```
Bulletin de sécurité FreeBSD pour gtar du 03 mars 2006 :
```
http://www.vuxml.org/freebsd/pkg-gtar.html
```
Bulletin de sécurité Debian DSA-987 du 07 mars 2006 :
```
http://www.debian.org/security/dsa-987
```
Bulletin de sécurité SUSE SUSE-SR:2006:005 du 03 mars 2006 :
```
http://www.novell.com/linux/security/advisories/2006_05_sr.html
```
Bulletin de sécurité Gentoo GLSA 200603-06 du 10 mars 2006 :
```
http://www.gentoo.org/security/en/glsa/glsa-200603-06.xml
```

Référence CVE CVE-2006-0300 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0300

Gestion détaillée du document

24 février 2006: version initiale.
02 mars 2006: ajout des références aux bulletins de sécurité Mandriva, Ubuntu et RedHat.
08 mars 2006: ajout des références aux bulletins de sécurité FreeBSD et Debian.
13 mars 2006: ajout des références aux bulletins de sécurité SUSE et Gentoo.

CERTA
2012-01-04

Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information

webmestre

Dernière mise à jour : le 22/05/2013