Tar: tar : injection de fichiers cachés via des archives malveillantes
Plateforme
linux
Composant
tar
Corrigé dans
1.37.0
La vulnérabilité CVE-2026-5704 affecte l'outil tar, permettant à un attaquant distant d'injecter des fichiers cachés dans un système. Cette faille est due à un défaut dans la gestion des archives, permettant de contourner les mécanismes d'inspection pré-extraction et d'introduire du contenu malveillant. Elle concerne les versions de tar comprises entre 1.0.0 et 1.36.0 incluses, et une correction est disponible dans la version 1.37.0.
Impact et Scénarios d'Attaque
Une vulnérabilité critique (CVE-2026-5704) a été identifiée dans l'utilitaire tar, affectant Red Hat Enterprise Linux 10. Cette faille permet à un attaquant distant d'injecter des fichiers malveillants dans un système, en contournant les mécanismes d'inspection pré-extraction. L'attaquant peut contrôler entièrement le contenu de ces fichiers, ce qui peut entraîner l'exécution de code non autorisé, la modification de données ou la compromission du système. Le score CVSS est de 5.0, ce qui indique un risque modéré. La mise à jour vers la version 1.37.0 de tar ou supérieure est essentielle pour atténuer ce risque. L'absence d'un KEV (Kernel Event Notification) suggère des informations de sécurité limitées et recommande de surveiller les sources officielles de Red Hat pour les mises à jour.
Contexte d'Exploitation
Un attaquant pourrait exploiter cette vulnérabilité en créant une archive tar malveillante contenant des fichiers avec des noms ou des structures conçus pour éviter l'inspection. Lors de l'extraction de cette archive sur un système vulnérable, l'attaquant pourrait introduire des fichiers malveillants qui s'exécutent automatiquement ou permettent un accès non autorisé à des données confidentielles. Ce type d'attaque est particulièrement dangereux dans les environnements où les archives tar sont reçues à partir de sources externes ou utilisées pour distribuer des logiciels. La complexité de l'exploitation dépend de la capacité de l'attaquant à créer une archive tar qui contourne les mécanismes de sécurité existants.
Qui Est à Risquetraduction en cours…
Systems that frequently process archives from untrusted sources are at higher risk. This includes build servers, automated deployment pipelines, and systems that handle user-uploaded files. Shared hosting environments where multiple users extract archives on the same system are also particularly vulnerable, as a malicious archive uploaded by one user could potentially impact other users.
Étapes de Détectiontraduction en cours…
• linux / server:
journalctl -u tar | grep -i 'error' -i 'warning'
auditctl -w /usr/bin/tar -p x -k tar_injection• generic web:
curl -I http://your-server/extract_archive.sh | grep 'Content-Type' # Check for unexpected content typesChronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Local — l'attaquant a besoin d'une session locale ou d'un shell sur le système.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La solution principale pour résoudre cette vulnérabilité est de mettre à jour le paquet tar à la version 1.37.0 ou supérieure sur Red Hat Enterprise Linux 10. Red Hat fournit des mises à jour de sécurité via ses canaux standard de gestion de paquets (yum ou dnf). Il est recommandé d'appliquer cette mise à jour dès que possible, en particulier pour les systèmes exposés à des réseaux non fiables ou qui traitent des données sensibles. De plus, examinez les politiques de sécurité existantes pour vous assurer que des contrôles d'accès appropriés sont mis en œuvre et que les systèmes sont surveillés pour détecter toute activité suspecte. Vérifier l'intégrité des archives tar avant l'extraction est une mesure préventive supplémentaire.
Comment corrigertraduction en cours…
Actualice el paquete 'tar' a la versión 1.37.0 o superior para mitigar la vulnerabilidad de inyección de archivos ocultos. Esta actualización corrige el problema al validar correctamente los nombres de los archivos durante el proceso de extracción, previniendo la creación de archivos ocultos no deseados. Consulte las notas de la versión de Red Hat para obtener instrucciones detalladas de actualización.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-5704 dans tar ?
C'est un identifiant unique pour une vulnérabilité de sécurité dans l'utilitaire tar.
Suis-je affecté(e) par CVE-2026-5704 dans tar ?
Vérifiez la version de tar installée sur votre système. Si elle est antérieure à 1.37.0, elle est vulnérable.
Comment corriger CVE-2026-5704 dans tar ?
Mettez en œuvre des contrôles d'accès stricts et surveillez les systèmes pour détecter toute activité suspecte.
CVE-2026-5704 est-il activement exploité ?
Actuellement, il n'existe pas d'outils largement disponibles à cet effet spécifique. La mise à jour est la meilleure défense.
Où trouver l'avis officiel de tar pour CVE-2026-5704 ?
KEV signifie Kernel Event Notification. Son absence suggère des informations limitées sur cette vulnérabilité.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.