I900008

**Nome do Software Vulnerável e Versões Afetadas:** Versões do GNU Tar até a 1.35 **Descrição:** O GNU Tar até a versão 1.35 está suscetível a uma vulnerabilidade de travessia de diretório que permite a sobrescrita de arquivos dentro de arquivos TAR manipulados. A vulnerabilidade requer um processo de duas etapas: primeiro, extrair um arquivo contendo um link simbólico `../` para um diretório crítico e, segundo, extrair um arquivo contendo um arquivo crítico especificado via um caminho relativo começando com o nome do link simbólico. Esse processo contorna o mecanismo de proteção padrão que impede o acesso a arquivos através de caminhos contendo `..`. Um exemplo desse ataque envolve um arquivo contendo "x -> ../../../../../home/victim/.ssh" seguido por um arquivo contendo "x/authorized keys", potencialmente sobrescrevendo o arquivo `authorized keys`. Esse problema pode impactar aplicações de servidor que extraem automaticamente arquivos TAR fornecidos pelo usuário e processos de instalação de software envolvendo múltiplos comandos `tar xf`. **Recomendações:** Versões anteriores à 1.36 são afetadas.