Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
- GNU tar ;
- Solaris 9 sur SPARC ;
- Solaris 10 sur SPARC sans le patch 139099-03 ;
- OpenSolaris sur SPARC de snv_01 à snv_115 ;
- Solaris 9 sur x86 ;
- Solaris 10 sur x86 sans le patch 139100-03 ;
- OpenSolaris sur x86 de snv_01 à snv_11.
Description
Une vulnérabilité a été identifiée dans GNU tar. L'exploitation d'un débordement de mémoire dans la fonction safer_name_suffix() peut compromettre la pile. L'impact est inconnu.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Gentoo GLSA-200711-18 du 14 novembre 2007 :
http://www.gentoo.org/security/en/glsa/glsa-200711-18.xml
- Bulletin de sécurité Debian DSA-1566 du 02 mai 2008 :
http://www.debian.org/security/2008/dsa-1566
- Bulletin de sécurité Debian DSA-1438 du 28 décembre 2008 :
http://www.debian.org/security/2008/dsa-1438
- Bulletin de sécurité Mandriva MDVSA-2007:233 du 28 novembre 2007 :
http://www.mandriva.com/en/security/advisories?name=MDKSA-2007-233
- Bulletin de sécurité Ubuntu USN-650-1 du 02 octobre 2008 :
http://www.ubuntu.com/usn/usn-650-1
- Bulletin de sécurité SuSE SUSE-SA:2007:018 du 31 août 2007 :
http://www.novell.com/linux/security/advisories/2007_18_sr.html
- Bulletin de sécurité SuSE SUSE-SA:2007:019 du 28 septembre 2007 :
http://www.novell.com/linux/security/advisories/2007_19_sr.html
- Référence CVE CVE-2007-4476 :
https://www.cve.org/CVERecord?id=CVE-2007-4476
- Bulletin de sécurité Sun 1-66-273551-1 du 02 décembre 2009 :
http://sunsolve.sun.com/search/document.do?assetkey=1-66-273551-1
