漏洞ID: RUSTSEC-2018-0002 漏洞描述: Links in archives can overwrite any existing file 报告日期: June 29, 2018 发布日期: October 1, 2020 (最后修改: June 13, 2023) 受影响的包: tar (crates.io) 漏洞类型: Vulnerability 关键词: #file-overwrite 别名: - CVE-2018-20990 - GHSA-2367-c296-3mp2 引用链接: https://github.com/alexcrichton/tar-rs/pull/156 CVSS分数: 7.5 (HIGH) CVSS详情: - 攻击向量: Network - 攻击复杂度: Low - 所需权限: None - 用户交互: None - 影响范围: Unchanged - 机密性影响: None - 完整性影响: High - 可用性影响: None CVSS向量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 修复版本: >=0.4.16 描述: 当使用 系列函数解包tarball时,其初衷是只写入指定目录内的文件。然而,如果tarball包含硬链接或符号链接,则可以被用来覆盖文件系统上的任何文件。 tarball可以包含多个相同文件的条目。如果一个tarball首先包含指向文件系统中任意文件的硬链接或符号链接,则会创建链接,之后如果tarball中的同一文件再次出现,硬链接会被重写,文件系统上的任何文件都可以被重写。 此问题已在https://github.com/alexcrichton/tar-rs/pull/156中修复,并作为 0.4.16发布。感谢Max Justicz发现此问题并邮件通知! 咨询协议: CC0-1.0