प्लेटफ़ॉर्म
nodejs
घटक
tar
में ठीक किया गया
2.0.0
CVE-2015-8860 एक मनमाना फ़ाइल एक्सेस भेद्यता है जो tar के पुराने संस्करणों में पाई गई है। इस भेद्यता का फायदा उठाकर हमलावर मनमाने ढंग से फ़ाइलों को लिख सकते हैं, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता tar के संस्करणों में मौजूद है जो 2.0.0 से पहले के हैं। इस समस्या को हल करने के लिए, संस्करण 2.0.0 या बाद में अपडेट करने की अनुशंसा की जाती है।
CVE-2015-8860 भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों को लिखने की अनुमति देती है, जिससे सिस्टम पर गंभीर प्रभाव पड़ सकता है। हमलावर महत्वपूर्ण सिस्टम फ़ाइलों को संशोधित कर सकते हैं, दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं, या संवेदनशील डेटा चुरा सकते हैं। यह भेद्यता विशेष रूप से उन प्रणालियों के लिए खतरनाक है जो tar का उपयोग फ़ाइलों को निकालने या संग्रहीत करने के लिए करते हैं। एक सफल शोषण से सिस्टम का पूर्ण नियंत्रण हमलावर के हाथ में आ सकता है। इस भेद्यता का उपयोग सिस्टम को बाधित करने या डेटा को नष्ट करने के लिए भी किया जा सकता है।
CVE-2015-8860 एक गंभीर भेद्यता है, लेकिन सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं। यह भेद्यता KEV में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इस भेद्यता का फायदा उठाने की क्षमता को दर्शाते हैं। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Systems that rely on tar for archiving and data transfer are at risk, particularly those using older versions of the utility. This includes build servers, automated deployment pipelines, and any environment where tar archives are processed without proper validation. Shared hosting environments where users can upload and extract tar archives are also particularly vulnerable.
• linux / server:
find / -name 'tar' -version 2>/dev/null | grep 'tar \([0-9.]*\)'• linux / server:
journalctl -u tar | grep -i 'error' # Check for extraction errors related to symbolic links• generic web: Inspect tar archives received from external sources for suspicious symbolic links. Look for links that point outside of the expected extraction directory.
discovery
disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.37% (59% शतमक)
CVSS वेक्टर
CVE-2015-8860 भेद्यता को कम करने के लिए, tar को संस्करण 2.0.0 या बाद में अपडेट करना सबसे प्रभावी तरीका है। यदि तत्काल अपडेट संभव नहीं है, तो प्रतीकात्मक लिंक के निष्कर्षण को अक्षम करने या निष्कर्षण रूट निर्देशिका को सीमित करने जैसे अस्थायी समाधानों का उपयोग किया जा सकता है। इसके अतिरिक्त, फ़ाइल निष्कर्षण प्रक्रियाओं की निगरानी करना और किसी भी असामान्य गतिविधि का पता लगाना महत्वपूर्ण है। tar के पुराने संस्करणों का उपयोग करने वाले सिस्टम को फ़ायरवॉल या घुसपैठ का पता लगाने वाले सिस्टम (IDS) के पीछे रखा जाना चाहिए। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, फ़ाइल निष्कर्षण प्रक्रियाओं का परीक्षण करें।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2015-8860 tar के पुराने संस्करणों में एक भेद्यता है जो हमलावरों को मनमाने ढंग से फ़ाइलों को लिखने की अनुमति देती है। यह प्रतीकात्मक लिंक को ठीक से सत्यापित न करने के कारण होता है।
यदि आप tar के संस्करण 2.0.0 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2015-8860 को ठीक करने के लिए, tar को संस्करण 2.0.0 या बाद में अपडेट करें।
सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन सार्वजनिक PoC मौजूद हैं।
आप आधिकारिक tar सलाहकार यहां पा सकते हैं: [https://security.gentoo.org/glsa/201710-14](https://security.gentoo.org/glsa/201710-14)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।