Plateforme
nodejs
Composant
tar
Corrigé dans
2.0.0
Une vulnérabilité d'accès arbitraire de fichiers a été découverte dans les versions de tar antérieures à 2.0.0. Cette faille est due à un manque de vérification des liens symboliques lors de l'extraction, permettant à un attaquant de potentiellement écrire des fichiers en dehors du répertoire d'extraction prévu. L'impact est significatif, car cela peut conduire à la compromission du système. La mise à jour vers la version 2.0.0 ou ultérieure corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'écrire des fichiers arbitraires sur le système cible. Cela peut être utilisé pour exécuter du code malveillant, modifier des fichiers système critiques, ou compromettre la confidentialité des données. Un attaquant pourrait, par exemple, créer un lien symbolique pointant vers un fichier de configuration sensible, puis l'extraire via tar, écrasant ainsi le fichier original. Bien qu'il n'y ait pas d'exploitations publiques documentées similaires à Log4Shell, le principe d'exploitation de liens symboliques pour l'écriture de fichiers est bien connu et peut être adapté à d'autres contextes. La surface d'attaque est large, touchant tous les systèmes utilisant tar avec des versions vulnérables.
Cette vulnérabilité a été publiée en 2017, mais reste pertinente en raison de la présence de systèmes hérités utilisant des versions obsolètes de tar. Elle n'est pas répertoriée sur le KEV à ce jour. Bien qu'il n'y ait pas de preuves publiques d'exploitation active, la simplicité de l'exploitation et la large utilisation de tar en font une cible potentielle. La date de publication sur le NVD est le 24 octobre 2017.
Systems that rely on tar for archiving and data transfer are at risk, particularly those using older versions of the utility. This includes build servers, automated deployment pipelines, and any environment where tar archives are processed without proper validation. Shared hosting environments where users can upload and extract tar archives are also particularly vulnerable.
• linux / server:
find / -name 'tar' -version 2>/dev/null | grep 'tar \([0-9.]*\)'• linux / server:
journalctl -u tar | grep -i 'error' # Check for extraction errors related to symbolic links• generic web: Inspect tar archives received from external sources for suspicious symbolic links. Look for links that point outside of the expected extraction directory.
discovery
disclosure
patch
Statut de l'Exploit
EPSS
0.37% (percentile 59%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour tar vers la version 2.0.0 ou une version ultérieure. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est crucial de restreindre les droits d'accès aux répertoires où tar est utilisé, limitant ainsi l'impact potentiel d'une exploitation réussie. Sur les systèmes Node.js, vérifiez les dépendances et mettez à jour les modules utilisant des versions vulnérables de tar. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une inspection du contenu extrait pourrait aider à détecter des tentatives d'écriture de fichiers suspects. La vérification après la mise à jour peut se faire en exécutant tar -vzf test.tar.gz sur un fichier test et en s'assurant qu'aucun fichier en dehors du répertoire d'extraction n'est créé.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2015-8860 is a vulnerability in tar versions before 2.0.0 that allows attackers to write files outside the intended extraction directory by exploiting symbolic link verification issues.
You are affected if you are using a version of tar older than 2.0.0. Check your tar version using tar --version.
Upgrade to tar version 2.0.0 or later to resolve this vulnerability. This fix properly validates symbolic link targets during extraction.
While no active campaigns have been definitively linked, public proof-of-concept exploits exist, increasing the risk of opportunistic exploitation.
Refer to the GNU tar project website for information and updates related to this vulnerability: https://www.gnu.org/software/tar/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.