Begin forwarded message: Date: Tue, 1 Oct 2002 16:50:34 +0400 From: ALT Security Team To: ALT Linux security announce list Subject: [security-announce] IA: new tar and unzip packages available Обнаружена уязвимость в некоторых версиях архиваторов tar и unzip. Реализация алгоритма обхода файлового дерева в tar < 1.13.25-alt1 и unzip <= 5.42 при распаковке архива не проверяет в достаточной степени входные данные, что с помощью файловых архивов специального вида может быть использовано потенциальным злоумышленником для получения доступа к произвольным файлам файловой системы с правами процесса, выполняющего распаковку архива. С более подробной информацией на эту тему можно ознакомится по адресу http://online.securityfocus.com/archive/1/293544/2002-09-28/2002-10-04/0 Мы рекомендуем всем пользователям уязвимых версий tar и unzip обновить пакеты до исправленных версий. Обновления для дистрибутивов ALT Linux доступны по следующим адресам: + Для дистрибутива Linux-Mandrake RE Spring 2001: ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Spring2001/SRPMS/tar-1.13.25-alt1.1.src.rpm ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Spring2001/SRPMS/unzip-5.50-alt1.1.src.rpm ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Spring2001/i586/RPMS/tar-1.13.25-alt1.1.i586.rpm ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Spring2001/i586/RPMS/unzip-5.50-alt1.1.i586.rpm + Для бета-версии дистрибутива ALT Linux Castle: ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Castle/SRPMS/tar-1.13.25-alt1.1.src.rpm ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Castle/SRPMS/unzip-5.50-alt1.1.src.rpm ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Castle/i586/RPMS/tar-1.13.25-alt1.1.i586.rpm ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Castle/i586/RPMS/unzip-5.50-alt1.1.i586.rpm + Для дистрибутива ALT Linux MSI Edition 1.1: ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/MSI/SRPMS/tar-1.13.25-alt1.1.src.rpm ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/MSI/SRPMS/unzip-5.50-alt1.1.src.rpm ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/MSI/i586/RPMS/tar-1.13.25-alt1.1.i586.rpm ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/MSI/i586/RPMS/unzip-5.50-alt1.1.i586.rpm + Для дистрибутива ALT Linux Junior 1.1: ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Junior/SRPMS/tar-1.13.25-alt1.1.src.rpm ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Junior/SRPMS/unzip-5.50-alt1.1.src.rpm ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Junior/i586/RPMS/tar-1.13.25-alt1.1.i586.rpm ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Junior/i586/RPMS/unzip-5.50-alt1.1.i586.rpm + Дистрибутивы ALT Linux Master 2.0, ALT Linux Junior 2.0, а также репозитарий ALT Linux Sisyphus содержат версии программ tar и unzip, не подверженные уязвимости, о которой шла речь выше. Обновление можно производить автоматически с помощью apt-get. -- ALT Security Team -- Вот возьму я всех и брошу, потому что я ХОРОШИЙ!