CVE-2015-8860 描述了 tar 工具中存在的任意文件访问漏洞。该漏洞源于 tar 在提取符号链接时未能验证目标路径是否超出指定的提取根目录,导致攻击者可以写入任意文件。此漏洞影响 tar 版本低于 2.0.0 的用户,建议尽快升级至 2.0.0 或更高版本以修复此问题。
攻击者可以利用此漏洞在目标系统上写入任意文件,从而可能导致恶意代码执行、数据篡改或系统控制权被夺取。攻击者可以通过精心构造的 tar 归档文件,利用符号链接绕过安全限制,将文件写入到系统敏感目录,例如 /etc 或 /usr/bin。如果攻击者成功写入可执行文件,则可以完全控制受影响的系统。此漏洞的潜在影响非常严重,可能导致数据泄露、服务中断和安全事件。
此漏洞已公开披露,且存在公开的利用代码。虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,攻击者可能会利用此漏洞进行攻击。该漏洞未被添加到 CISA KEV 目录中。NVD 发布日期为 2017-10-24。
Systems that rely on tar for archiving and data transfer are at risk, particularly those using older versions of the utility. This includes build servers, automated deployment pipelines, and any environment where tar archives are processed without proper validation. Shared hosting environments where users can upload and extract tar archives are also particularly vulnerable.
• linux / server:
find / -name 'tar' -version 2>/dev/null | grep 'tar \([0-9.]*\)'• linux / server:
journalctl -u tar | grep -i 'error' # Check for extraction errors related to symbolic links• generic web: Inspect tar archives received from external sources for suspicious symbolic links. Look for links that point outside of the expected extraction directory.
discovery
disclosure
patch
漏洞利用状态
EPSS
0.37% (59% 百分位)
CVSS 向量
最有效的缓解措施是升级到 tar 2.0.0 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑使用 WAF 或代理服务器来过滤包含恶意符号链接的 tar 归档文件。此外,可以限制 tar 命令的执行权限,只允许在受信任的目录中提取归档文件。在升级后,请验证 tar 命令是否正常工作,并检查系统日志中是否存在异常活动。
暂无官方补丁。请查找临时解决方案或持续关注更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2015-8860 是 tar 工具中存在的任意文件写入漏洞,由于 tar 未验证提取的符号链接是否超出提取根目录,攻击者可以写入任意文件。
如果您正在使用 tar 版本低于 2.0.0,则可能受到此漏洞的影响。请检查您的 tar 版本并尽快升级。
升级到 tar 2.0.0 或更高版本是修复此漏洞的最佳方法。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,攻击者可能会利用此漏洞进行攻击。
请访问 GNU tar 项目的官方网站获取更多信息:https://www.gnu.org/software/tar/