HIGHCVE-2015-8860CVSS 7.5

tar におけるシンボリックリンクによる任意のファイル上書き

プラットフォーム

nodejs

コンポーネント

tar

修正版

2.0.0

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2015-8860は、GNU tarユーティリティのバージョン2.0.0以前に存在する任意ファイル書き込みの脆弱性です。この脆弱性は、tarが抽出するシンボリックリンクが、抽出元のディレクトリ外を指すかどうかを検証しないことに起因します。攻撃者はこの脆弱性を悪用して、システム上の任意のファイルを書き換えることが可能となり、機密情報の漏洩やシステムの改ざんにつながる可能性があります。バージョン2.0.0以降にアップデートすることで、この脆弱性を修正できます。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はtarアーカイブを操作し、シンボリックリンクを利用して抽出元のディレクトリ外にある任意のファイルを書き込むことができます。これにより、攻撃者は機密情報を盗み出したり、システムファイルを改ざんしたり、悪意のあるコードを実行したりすることが可能になります。特に、tarアーカイブを処理する際に、信頼できないソースからのアーカイブを使用しているシステムは、この脆弱性による影響を受けやすくなります。この脆弱性は、類似のシンボリックリンク脆弱性と同様に、システム全体のセキュリティを脅かす可能性があります。

悪用の状況

CVE-2015-8860は、Node.js環境でtarライブラリを使用している場合に特にリスクが高まります。現時点では、この脆弱性を悪用した公開されたPoCは確認されていませんが、シンボリックリンクの脆弱性は過去に悪用事例があるため、注意が必要です。CISA KEVリストには登録されていません。NVD公開日は2017年10月24日です。

リスク対象者翻訳中…

Systems that rely on tar for archiving and data transfer are at risk, particularly those using older versions of the utility. This includes build servers, automated deployment pipelines, and any environment where tar archives are processed without proper validation. Shared hosting environments where users can upload and extract tar archives are also particularly vulnerable.

検出手順翻訳中…

• linux / server:

find / -name 'tar' -version 2>/dev/null | grep 'tar \([0-9.]*\)'

• linux / server:

journalctl -u tar | grep -i 'error' # Check for extraction errors related to symbolic links

• generic web: Inspect tar archives received from external sources for suspicious symbolic links. Look for links that point outside of the expected extraction directory.

攻撃タイムライン

2015-07-16Discovery
discovery
2017-10-24Disclosure
disclosure
2017-10-24Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard10–15% まだ脆弱

EPSS

0.37% (59% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントtar

ベンダーosv

影響範囲修正版

—2.0.0

タイムライン

公開日2017-10-24
更新日2023-11-08
EPSS 更新日2026-04-02

公開後-942日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、GNU tarユーティリティをバージョン2.0.0以降にアップデートすることです。アップデートが困難な場合は、信頼できないソースからのtarアーカイブの処理を避けるようにしてください。また、WAFやIPSなどのセキュリティ対策を導入することで、悪意のあるtarアーカイブの処理を検知し、ブロックすることができます。tarアーカイブの処理前に、ファイルシステムのアクセス権を制限することで、攻撃の影響範囲を限定することも有効です。アップデート後、tar --versionコマンドを実行し、バージョンが2.0.0以降であることを確認してください。

修正方法翻訳中…

公式パッチはありません。回避策を確認するか、アップデートを監視してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2015-8860 — 任意ファイルアクセス in tarとは何ですか？

CVE-2015-8860は、GNU tarユーティリティのバージョン2.0.0以前に存在する、シンボリックリンクの検証不備による任意ファイル書き込みの脆弱性です。攻撃者はこの脆弱性を悪用して、任意のファイルを書き換える可能性があります。

CVE-2015-8860 in tarで影響を受けますか？

GNU tarユーティリティのバージョン2.0.0より前のバージョンを使用している場合は、影響を受けます。バージョンを確認し、必要に応じてアップデートしてください。

CVE-2015-8860 in tarを修正するにはどうすればよいですか？

GNU tarユーティリティをバージョン2.0.0以降にアップデートすることで、この脆弱性を修正できます。

CVE-2015-8860は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した公開されたPoCは確認されていませんが、類似の脆弱性が悪用された事例があるため、注意が必要です。

CVE-2015-8860に関する公式tarアドバイザリはどこで入手できますか？

GNU tarプロジェクトの公式ウェブサイトでアドバイザリを確認してください。https://www.gnu.org/software/tar/tar-1.86.html