CVE-2020-26277

Versões do DBdeployer anteriores à 1.58.2

O DBdeployer é uma ferramenta que permite implantar servidores de banco de dados MySQL com facilidade. Usuários que descompactam um tarball podem utilizar um tarball maliciosamente empacotado que contenha links simbólicos para arquivos externos ao destino. Nesse cenário, um invasor poderia induzir o DBdeployer a gravar em um arquivo do sistema, alterando assim as defesas do computador. Para que o ataque seja bem-sucedido, os seguintes fatores precisam estar presentes: o usuário está conectado como root e obteve um tarball de uma fonte não segura sem verificar a soma de verificação.

Para versões anteriores à 1.58.2, atualize para a versão 1.58.2 para corrigir o problema. Como solução alternativa temporária, considere verificar a soma de verificação do tarball antes de tentar descompactá-lo e evite executar o DBdeployer como root. Restrinja o acesso a arquivos e diretórios do sistema para minimizar o risco de exploração.