CVE-2021-38511

Versões do crate tar anteriores à 0.4.36

Foi detectada uma falha no crate tar para Rust. Quando há links simbólicos em um arquivo TAR, a extração pode criar diretórios arbitrários por meio da navegação .. Isso ocorre ao descompactar um tarball que contém um link simbólico, permitindo que o tar crate crie diretórios fora do diretório no qual deveria ser descompactado. A função apresenta erro ao tentar criar um arquivo, mas as pastas já estão criadas nesse momento.

Para versões anteriores à 0.4.36, atualize para a versão 0.4.36 para resolver o problema. Como solução temporária, considere evitar o uso de links simbólicos em arquivos TAR até que a atualização seja aplicada. Restrinja o acesso à função unpack da classe Archive para minimizar o risco de exploração. Evite usar a classe Builder para criar arquivos TAR que contenham links simbólicos até que o problema seja resolvido.