抽出フィルタのバイパス: 抽出ディレクトリ外へのリンク

この脆弱性は、攻撃者がtarアーカイブを解凍する際に、シンボリックリンクを悪用して、意図しない場所にファイルを書き込むことを可能にします。これにより、システムファイルが上書きされたり、機密情報が盗まれたりする可能性があります。特に、tarアーカイブが外部からの信頼できないソースから取得された場合、この脆弱性のリスクは高まります。攻撃者は、この脆弱性を利用して、システムへのアクセス権を取得したり、マルウェアをインストールしたりする可能性があります。ファイルメタデータの改ざんは、ファイルの整合性を損ない、不正な操作を隠蔽する可能性があります。

Systems that automatically process untrusted tar archives, such as build servers, data ingestion pipelines, or web applications that allow users to upload archives, are particularly at risk. Environments using older Python versions (3.10.0 - 3.14.0b3) are also vulnerable. Shared hosting environments where multiple users can upload files are also at increased risk.

• python / server:

find / -name '*.tar.gz' -o -name '*.tar.bz2' -o -name '*.tar'

• python / server:

journalctl -u python3 | grep "TarFile.extractall" | grep "filter="

• python / server:

ps aux | grep "TarFile.extractall" | grep "filter="

1. 2025-06-03Disclosure

   disclosure

1. 予約済み2025-05-05
2. 公開日2025-06-03
3. 更新日2026-04-21
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずPythonのバージョンを3.14.0b3以降にアップグレードすることを推奨します。これにより、filterパラメータのデフォルト値が変更され、脆弱性が軽減されます。アップグレードが困難な場合は、tarfile.extractall()やtarfile.extract()を使用する際に、filterパラメータに"data"または"tar"を指定しないようにしてください。WAFやプロキシサーバーを使用している場合は、悪意のあるシンボリックリンクを含むtarアーカイブの解凍をブロックするルールを実装することを検討してください。解凍前に、tarアーカイブの整合性を検証することも有効です。