VDB-93116 · CVE-2016-6321 · Nessus 95270

GNU tar bis 1.29 Extraction Path Directory Traversal ⚔ [Infragegestellt]

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
7.1	$0-$5k	0.00

Zusammenfassunginfo

In GNU tar bis 1.29 wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Dabei betrifft es einen unbekannter Codeteil der Komponente Extraction. Durch die Manipulation mit unbekannten Daten kann eine Directory Traversal-Schwachstelle (Path) ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2016-6321 bekannt. Der Angriff kann über das Netzwerk passieren. Darüber hinaus steht ein Exploit zur Verfügung. Die wahre Existenz der vermeintlichen Schwachstelle wird zur Zeit in Frage gestellt. Es wird geraten, die betroffene Komponente zu aktualisieren.

Detailsinfo

Eine kritische Schwachstelle wurde in GNU tar bis 1.29 entdeckt. Es geht hierbei um ein unbekannter Codeblock der Komponente Extraction. Dank Manipulation mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle (Path) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-22. Mit Auswirkungen muss man rechnen für Integrität und Verfügbarkeit.

Entdeckt wurde das Problem am 10.03.2016. Die Schwachstelle wurde am 27.10.2016 durch Harry Sintonen als [CSS] POINTYFEATHER / tar extract pathname bypass (CVE-2016-6321) in Form eines bestätigten Mailinglist Posts (Full-Disclosure) veröffentlicht. Das Advisory kann von seclists.org heruntergeladen werden. Die Herausgabe geschah hierbei in Zusammenarbeit mit dem Hersteller. Die Identifikation der Schwachstelle findet seit dem 26.07.2016 als CVE-2016-6321 statt. Die Schwachstelle ist relativ beliebt, was unter anderem auf ihre geringe Komplexität zurückzuführen ist. Der Angriff muss lokal passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1006. Das Advisory weist darauf hin:

GNU `tar' archiver attempts to avoid path traversal attacks by removing offending parts of the element name at extract. This sanitizing leads to a vulnerability where the attacker can bypass the path name(s) specified on the command line.

Ein öffentlicher Exploit wurde durch Harry Sintonen in TAR geschrieben und direkt nach dem Advisory veröffentlicht. Der Exploit wird unter seclists.org zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Dabei muss 4863 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt. Bisher konnte die Existenz der vermeintlichen Schwachstelle noch nicht eindeutig nachgewiesen werden. Für den Vulnerability Scanner Nessus wurde am 23.11.2016 ein Plugin mit der ID 95270 (GLSA-201611-19 : Tar: Extract pathname bypass) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Gentoo Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 169552 (OpenSuSE Security Update for tar (openSUSE-SU-2016:3003-1)) zur Prüfung der Schwachstelle an.

Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah 4 Wochen nach der Veröffentlichung der Schwachstelle. GNU hat hiermit noch im Rahmen reagiert.

Unter anderem wird der Fehler auch in den Datenbanken von Tenable (95270) und SecurityFocus (BID 93937†) dokumentiert. Once again VulDB remains the best source for vulnerability data.

Produktinfo

Hersteller

Name

Version

Lizenz

Open-Source

Webseite

Hersteller: https://www.gnu.org/

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.5
VulDB Meta Temp Score: 7.1

VulDB Base Score: 7.5
VulDB Temp Score: 6.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 7.5
NVD Vector: 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Name: Path
Klasse: Directory Traversal / Path
CWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Teilweise
Lokal: Ja
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Harry Sintonen
Programmiersprache: 🔍
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Nessus ID: 95270
Nessus Name: GLSA-201611-19 : Tar: Extract pathname bypass
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 703702
OpenVAS Name: Debian Security Advisory DSA 3702-1 (tar - security update)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍

Patch: git.savannah.gnu.org

Timelineinfo

05.07.2003 🔍
10.03.2016 +4632 Tage 🔍
15.03.2016 +5 Tage 🔍
17.03.2016 +2 Tage 🔍
26.07.2016 +131 Tage 🔍
27.10.2016 +93 Tage 🔍
27.10.2016 +0 Tage 🔍
27.10.2016 +0 Tage 🔍
28.10.2016 +1 Tage 🔍
22.11.2016 +25 Tage 🔍
23.11.2016 +1 Tage 🔍
09.12.2016 +16 Tage 🔍
07.08.2025 +3162 Tage 🔍