PT-2021-2811 · Gnu+6 · Tar+6

Carlos Andres Ramirez

·

Publicado

2021-01-17

·

Atualizado

2025-08-28

·

CVE-2021-20193

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões 1.33 e anteriores do tar
Descrição
Uma falha no arquivo src/list.c do tar permite que um invasor, ao enviar um arquivo de entrada malicioso, cause consumo descontrolado de memória, o que pode levar a problemas de disponibilidade do sistema. A vulnerabilidade está relacionada a um estouro de buffer na função read header() do GNU Tar. Um invasor pode explorar essa vulnerabilidade enviando um arquivo de entrada especialmente criado, o que pode resultar em uma negação de serviço.
Recomendações
Para as versões 1.33 e anteriores do tar, considere atualizar para uma versão mais recente a fim de mitigar o risco de exploração. Como solução temporária, restrinja o uso do tar com arquivos de entrada não confiáveis para minimizar o risco de problemas de consumo de memória. Evite usar o tar com arquivos de entrada criados de forma maliciosa até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Memory Leak

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-401CWE-125

Identificadores relacionados

ALT-PU-2021-1651
BDU:2021-02357
CVE-2021-20193
MGASA-2021-0233
OESA-2021-1173
OPENSUSE-SU-2021:0494-1
OPENSUSE-SU-2021_0494-1
OPENSUSE-SU-2022_1548-1
OPENSUSE-SU-2024:11620-1
SUSE-SU-2021:0974-1
SUSE-SU-2021:0975-1
SUSE-SU-2021_0974-1
SUSE-SU-2021_0975-1
SUSE-SU-2022:1548-1
SUSE-SU-2022_1548-1
USN-5329-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Red Os
Suse
Ubuntu
Tar