阿里云漏洞库

漏洞描述

GNU Tar是GNU社区的一套用于创建tar格式文件的工具。

在tar 1.33及之前版本存在安全漏洞，攻击者可利用该漏洞可以向tar提交精心制作的输入文件，从而导致未受控制的内存消耗。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：https://git.savannah.gnu.org/cgit/tar.git/commit/?id=d9d4435692150fa8ff68e1b1a473d187cc3fd777

参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=1917565
https://git.savannah.gnu.org/cgit/tar.git/commit/?id=d9d4435692150fa8ff68e1b1...
https://savannah.gnu.org/bugs/?59897
https://security.gentoo.org/glsa/202105-29

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	gnu	tar	*		Up to (including) 1.33
	运行在以下环境
	系统	alpine_3.10	tar	*		Up to (excluding) 1.32-r1
	运行在以下环境
	系统	alpine_3.11	tar	*		Up to (excluding) 1.32-r2
	运行在以下环境
	系统	alpine_3.12	tar	*		Up to (excluding) 1.32-r2
	运行在以下环境
	系统	alpine_3.13	tar	*		Up to (excluding) 1.34-r0
	运行在以下环境
	系统	alpine_3.14	tar	*		Up to (excluding) 1.34-r0
	运行在以下环境
	系统	alpine_3.15	tar	*		Up to (excluding) 1.34-r0
	运行在以下环境
	系统	alpine_3.16	tar	*		Up to (excluding) 1.34-r0
	运行在以下环境
	系统	alpine_3.17	tar	*		Up to (excluding) 1.34-r0
	运行在以下环境
	系统	alpine_3.18	tar	*		Up to (excluding) 1.34-r0
	运行在以下环境
	系统	alpine_3.19	tar	*		Up to (excluding) 1.34-r0
	运行在以下环境
	系统	debian_11	tar	*		Up to (excluding) 1.34+dfsg-1
	运行在以下环境
	系统	debian_12	tar	*		Up to (excluding) 1.34+dfsg-1
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	tar	*		Up to (excluding) 1.32-2.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	tar	*		Up to (excluding) 1.32-2.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP1	tar	*		Up to (excluding) 1.32-2.a.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	tar	*		Up to (excluding) 1.32-2.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	tar	*		Up to (excluding) 1.32-2.ky10
	运行在以下环境
	系统	opensuse_Leap_15.2	tar	*		Up to (excluding) 1.30-lp152.4.3.1
	运行在以下环境
	系统	opensuse_Leap_15.3	tar	*		Up to (excluding) 1.34-150000.3.12.1
	运行在以下环境
	系统	suse_12_SP5	tar	*		Up to (excluding) 1.27.1-15.9.1
	运行在以下环境
	系统	ubuntu_18.04	tar	*		Up to (excluding) 1.29b-2ubuntu0.3
	运行在以下环境
	系统	ubuntu_20.04	tar	*		Up to (excluding) 1.30+dfsg-7ubuntu0.20.04.2
	运行在以下环境
	系统	ubuntu_21.04	tar	*		Up to (excluding) 1.34+dfsg-1build1
	运行在以下环境
	系统	ubuntu_21.10	tar	*		Up to (excluding) 1.34+dfsg-1build1
	运行在以下环境
	系统	ubuntu_22.04	tar	*		Up to (excluding) 1.34+dfsg-1build1
	运行在以下环境
	系统	ubuntu_22.10	tar	*		Up to (excluding) 1.34+dfsg-1build1

攻击路径

远程
攻击复杂度

困难
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-125	跨界内存读
CWE-401	在移除最后引用时对内存的释放不恰当（内存泄露）

低危 gnu tar 跨界内存读

漏洞描述

解决建议

参考链接

受影响软件情况