CVSS Meta Temp poäng	Nuvarande exploateringspris (≈)	CTI intressepoäng
6.6	$0-$5k	0.00

I GNU tar har en kritiskt svag punkt upptäckte. Som påverkar funktionen contains_dot_dot. Manipulering en okänd ingång leder till en sårbarhet klass privilegier eskalering svag punkt.

Felet upptäcktes på 13/08/2007. Den svaga punkten är publicerad 24/08/2007 (Website) (bekräftad). Den rådgivande finns tillgänglig för nedladdning på us-cert.gov. Denna svaga punkt behandlas som CVE-2007-4131. Attacken på nätet kan. Ingen autentisering-krävs för användning. Det finns tekniska detaljer, men ingen exploit känd.

Han deklarerade proof-of-concept. Minst 10 dagar var den svaga punkten som 0-day. För vulnerability scanner Nessus en plugin har släppts med ID 67563 (Oracle Linux 4 / 5 : tar (ELSA-2007-0860)), så att sårbarheten kan testas.

En uppgradering att åtgärda problemet. En möjlig åtgärd har utfärdats före och inte efter offentliggörandet.

Sårbarheten dokumenteras i databaser X-Force (36233) och Tenable (67563).

Produktinfo

Säljare

• GNU

namn

• tar

Version

• 1.13
• 1.13.5
• 1.13.11
• 1.13.14
• 1.13.16
• 1.13.17
• 1.13.18
• 1.13.19
• 1.13.25
• 1.14
• 1.14.90
• 1.15
• 1.15.1
• 1.15.90
• 1.15.91
• 1.16

Licens

• open-source

CPE 2.3info

• 🔍
• 🔍
• 🔍

CPE 2.2info

• 🔍
• 🔍
• 🔍

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vektor: 🔍
VulDB Pålitlighet: 🔍

CVSSv3info

VulDB Meta Basscore: 7.3
VulDB Meta Temp poäng: 6.6

VulDB Baspoäng: 7.3
VulDB Temp Betyg: 6.6
VulDB Vektor: 🔍
VulDB Pålitlighet: 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexitet	Autentisering	Sekretess	Integritet	Tillgänglighet
låsa upp	låsa upp	låsa upp	låsa upp	låsa upp	låsa upp
låsa upp	låsa upp	låsa upp	låsa upp	låsa upp	låsa upp
låsa upp	låsa upp	låsa upp	låsa upp	låsa upp	låsa upp

VulDB Baspoäng: 🔍
VulDB Temp Betyg: 🔍
VulDB Pålitlighet: 🔍

NVD Baspoäng: 🔍

Utnyttjarinfo

Klass: Privilegier eskalering
CWE: CWE-61 / CWE-59
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nej
Avlägsen: Ja

Tillgänglighet: 🔍
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Pris förutsägelse: 🔍
Nuvarande prisuppskattning: 🔍

0-Day	låsa upp	låsa upp	låsa upp	låsa upp
I dag	låsa upp	låsa upp	låsa upp	låsa upp

Nessus ID: 67563
Nessus namn: Oracle Linux 4 / 5 : tar (ELSA-2007-0860)
Nessus Fil: 🔍
Nessus Risk: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 60070
OpenVAS namn: Debian Security Advisory DSA 1438-1 (tar)
OpenVAS Fil: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys namn: 🔍

Hotinformationinfo

Intressera: 🔍
Aktiva skådespelare: 🔍
Aktiva APT-grupper: 🔍

Motåtgärderinfo

Rekommenderad: Upgrade
Status: 🔍

0-dagars tid: 🔍

Tidslinjeinfo

02/08/2007 🔍
13/08/2007 +11 dagar 🔍
13/08/2007 +0 dagar 🔍
23/08/2007 +10 dagar 🔍
23/08/2007 +0 dagar 🔍
23/08/2007 +0 dagar 🔍
24/08/2007 +1 dagar 🔍
24/08/2007 +0 dagar 🔍
24/08/2007 +0 dagar 🔍
02/09/2007 +9 dagar 🔍
12/07/2013 +2140 dagar 🔍
16/03/2015 +612 dagar 🔍
25/07/2019 +1592 dagar 🔍

Källorinfo

Säljare: gnu.org

Rådgivande: us-cert.gov
Status: Bekräftad
Bekräftelse: 🔍

CVE: CVE-2007-4131 (🔍)
OVAL: 🔍

X-Force: 36233
SecurityTracker: 1018599
Vulnerability Center: 15955 - GNU Tar Directory Traversal Vulnerability Allows Remote User-Assisted Overwrite of Files, Medium
SecurityFocus: 25417 - GNU Tar Dot_Dot Function Remote Directory Traversal Vulnerability
Secunia: 26573
OSVDB: 38183 - CVE-2007-4131 - GNU - tar - Directory Traversal Issue
Vupen: ADV-2007-2958

Se även: 🔍

Inträdeinfo

Skapad: 16/03/2015 12:18
Uppdaterad: 25/07/2019 09:34
Ändringar: 16/03/2015 12:18 (76), 25/07/2019 09:34 (11)
Komplett: 🔍

Diskussion

Do you know our Splunk app?

Download it now for free!