Platform
nodejs
Component
tar
Opgelost in
2.0.0
CVE-2015-8860 beschrijft een kwetsbaarheid van het type Arbitrary File Access in de tar utility. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige bestanden te schrijven, wat kan leiden tot data-integriteitsproblemen en potentieel systeemcompromittering. De kwetsbaarheid treft versies van tar vóór 2.0.0. Een update naar versie 2.0.0 of hoger is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van CVE-2015-8860 stelt een aanvaller in staat om willekeurige bestanden op het systeem te schrijven. Dit kan leiden tot het overschrijven van kritieke systeembestanden, het installeren van malware, of het verkrijgen van ongeautoriseerde toegang tot gevoelige data. De impact is aanzienlijk, omdat de aanvaller de controle over het systeem kan overnemen. Het misbruik van deze kwetsbaarheid kan vergelijkbare gevolgen hebben als bij andere arbitrary file write kwetsbaarheden, waarbij de integriteit van het systeem in gevaar komt.
Er zijn geen bekende actieve campagnes gerelateerd aan CVE-2015-8860. De kwetsbaarheid is opgenomen in de NVD database en er zijn geen openbare proof-of-concept exploits bekend. De KEV status is momenteel niet bekend. De publicatiedatum van de CVE is 2017-10-24.
Systems that rely on tar for archiving and data transfer are at risk, particularly those using older versions of the utility. This includes build servers, automated deployment pipelines, and any environment where tar archives are processed without proper validation. Shared hosting environments where users can upload and extract tar archives are also particularly vulnerable.
• linux / server:
find / -name 'tar' -version 2>/dev/null | grep 'tar \([0-9.]*\)'• linux / server:
journalctl -u tar | grep -i 'error' # Check for extraction errors related to symbolic links• generic web: Inspect tar archives received from external sources for suspicious symbolic links. Look for links that point outside of the expected extraction directory.
discovery
disclosure
patch
Exploit Status
EPSS
0.37% (59% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2015-8860 is het updaten van de tar utility naar versie 2.0.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van restricties op de extractieroot directory om de impact van de kwetsbaarheid te beperken. Controleer ook of de tar utility niet wordt gebruikt om bestanden van onbetrouwbare bronnen te extraheren. Na de upgrade, verifieer de fix door een testextractie uit te voeren met een symlink die naar een bestand buiten de extractieroot verwijst; dit zou een foutmelding moeten genereren in plaats van een succesvolle schrijfactie.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2015-8860 is a vulnerability in tar versions before 2.0.0 that allows attackers to write files outside the intended extraction directory by exploiting symbolic link verification issues.
You are affected if you are using a version of tar older than 2.0.0. Check your tar version using tar --version.
Upgrade to tar version 2.0.0 or later to resolve this vulnerability. This fix properly validates symbolic link targets during extraction.
While no active campaigns have been definitively linked, public proof-of-concept exploits exist, increasing the risk of opportunistic exploitation.
Refer to the GNU tar project website for information and updates related to this vulnerability: https://www.gnu.org/software/tar/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.