प्लेटफ़ॉर्म
linux
घटक
tar
में ठीक किया गया
1.37.0
टार में एक भेद्यता पाई गई है, जिसके कारण हमलावर दुर्भावनापूर्ण अभिलेखागार बनाकर छिपी फ़ाइलें इंजेक्ट कर सकते हैं। यह भेद्यता पूर्व-निष्कर्षण निरीक्षण तंत्र को दरकिनार कर देती है, जिससे हमलावर का पता लगाए बिना सिस्टम पर दुर्भावनापूर्ण फ़ाइलें पेश करना संभव हो जाता है। यह भेद्यता टार के संस्करण 1.0.0 से 1.36.0 तक के संस्करणों को प्रभावित करती है। इस समस्या को 1.37.0 में ठीक कर दिया गया है।
tar यूटिलिटी में एक गंभीर भेद्यता (CVE-2026-5704) की पहचान की गई है, जो Red Hat Enterprise Linux 10 को प्रभावित करती है। यह भेद्यता एक दूरस्थ हमलावर को पूर्व-निष्कर्षण निरीक्षण तंत्र को दरकिनार करते हुए सिस्टम में दुर्भावनापूर्ण फ़ाइलें इंजेक्ट करने की अनुमति देती है। हमलावर इन फ़ाइलों की सामग्री को पूरी तरह से नियंत्रित कर सकता है, जिससे अनधिकृत कोड निष्पादन, डेटा संशोधन या सिस्टम समझौता हो सकता है। CVSS स्कोर 5.0 है, जो मध्यम जोखिम दर्शाता है। इस जोखिम को कम करने के लिए tar को संस्करण 1.37.0 या उच्चतर में अपडेट करना आवश्यक है। KEV (कर्नेल इवेंट नोटिफिकेशन) की अनुपस्थिति सुरक्षा जानकारी की सीमितता का संकेत देती है और आधिकारिक Red Hat स्रोतों पर अपडेट की निगरानी करने की अनुशंसा करती है।
एक हमलावर इस भेद्यता का फायदा उठाकर दुर्भावनापूर्ण tar अभिलेखागार बना सकता है जिसमें ऐसे फ़ाइलें होती हैं जिनके नाम या संरचनाएं निरीक्षण से बचने के लिए डिज़ाइन की गई हैं। कमजोर सिस्टम पर इस अभिलेखागार को निकालने पर, हमलावर दुर्भावनापूर्ण फ़ाइलों को पेश कर सकता है जो स्वचालित रूप से निष्पादित होती हैं या गोपनीय डेटा तक अनधिकृत पहुंच की अनुमति देती हैं। इस प्रकार का हमला उन वातावरणों में विशेष रूप से खतरनाक है जहां tar अभिलेखागार बाहरी स्रोतों से प्राप्त होते हैं या सॉफ़्टवेयर वितरित करने के लिए उपयोग किए जाते हैं। शोषण की जटिलता हमलावर की मौजूदा सुरक्षा तंत्र को दरकिनार करने वाले tar अभिलेखागार बनाने की क्षमता पर निर्भर करती है।
Systems that frequently process archives from untrusted sources are at higher risk. This includes build servers, automated deployment pipelines, and systems that handle user-uploaded files. Shared hosting environments where multiple users extract archives on the same system are also particularly vulnerable, as a malicious archive uploaded by one user could potentially impact other users.
• linux / server:
journalctl -u tar | grep -i 'error' -i 'warning'
auditctl -w /usr/bin/tar -p x -k tar_injection• generic web:
curl -I http://your-server/extract_archive.sh | grep 'Content-Type' # Check for unexpected content typesdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (7% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को संबोधित करने का प्राथमिक समाधान Red Hat Enterprise Linux 10 पर tar पैकेज को संस्करण 1.37.0 या उच्चतर में अपडेट करना है। Red Hat अपने मानक पैकेज प्रबंधन चैनलों (yum या dnf) के माध्यम से सुरक्षा अपडेट प्रदान करता है। विशेष रूप से अविश्वसनीय नेटवर्क के संपर्क में आने वाले या संवेदनशील डेटा को संभालने वाले सिस्टम के लिए, इस अपडेट को जल्द से जल्द लागू करने की अनुशंसा की जाती है। इसके अतिरिक्त, मौजूदा सुरक्षा नीतियों की समीक्षा करें ताकि यह सुनिश्चित हो सके कि उचित पहुंच नियंत्रण लागू किए गए हैं और सिस्टम में संदिग्ध गतिविधि की निगरानी की जा रही है। निष्कर्षण से पहले tar अभिलेखागार की अखंडता को सत्यापित करना एक अतिरिक्त निवारक उपाय है।
Actualice el paquete 'tar' a la versión 1.37.0 o superior para mitigar la vulnerabilidad de inyección de archivos ocultos. Esta actualización corrige el problema al validar correctamente los nombres de los archivos durante el proceso de extracción, previniendo la creación de archivos ocultos no deseados. Consulte las notas de la versión de Red Hat para obtener instrucciones detalladas de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह tar यूटिलिटी में सुरक्षा भेद्यता के लिए एक अनूठा पहचानकर्ता है।
अपने सिस्टम पर स्थापित tar संस्करण की जांच करें। यदि यह 1.37.0 से पुराना है, तो यह कमजोर है।
कड़े पहुंच नियंत्रण लागू करें और संदिग्ध गतिविधि के लिए सिस्टम की निगरानी करें।
वर्तमान में इस विशिष्ट उद्देश्य के लिए व्यापक रूप से उपलब्ध उपकरण नहीं हैं। अपडेट सबसे अच्छा बचाव है।
KEV का मतलब कर्नेल इवेंट नोटिफिकेशन है। इसकी अनुपस्थिति इस भेद्यता के बारे में सीमित जानकारी का संकेत देती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।