CVE-2020-26312

Versões 0.8.1 e anteriores do Dotmesh

O problema está relacionado ao tratamento inadequado de links simbólicos em uma rotina de descompactação, o que pode permitir que invasores leiam e/ou gravem em locais arbitrários fora da pasta de destino designada. A rotina untarFile tenta impedir a criação de links simbólicos que apontem para fora do diretório para o qual um arquivo tar é extraído. No entanto, um tarball malicioso pode explorar essa vulnerabilidade primeiro vinculando subdir/parent a .. e, em seguida, vinculando subdir/parent/escapes a .., resultando em um link simbólico que aponta para o diretório pai do tarball. Isso pode levar à gravação arbitrária de arquivos com as mesmas permissões do programa que executa a operação de descompactação, caso o invasor consiga controlar o arquivo compactado. Além disso, se o invasor tiver acesso de leitura aos arquivos descompactados, ele poderá ler arquivos de sistema arbitrários para os quais o processo pai tenha permissões de leitura.

Como solução temporária, considere desativar a rotina untarFile até que um patch esteja disponível.

Restrinja o acesso aos arquivos descompactados para minimizar o risco de exploração.

Evite usar os links subdir/parent e subdir/parent/escapes no tarball afetado até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.