漏洞关键信息 漏洞概述 类别: 贡献模块 模块: contrib_tar 主题: gtar名称混淆符号链接漏洞 (CVE-2006-6097) 影响版本: FreeBSD 4.x 和 5.x 发行版 发布时间: 2006-12-06 修复时间: - RELENG_5, 5.5-STABLE: 2006-12-06 09:16:17 UTC - RELENG_5_5, 5.5-RELEASE-p9: 2006-12-06 09:16:41 UTC - RELENG_4, 4.11-STABLE: 2006-12-06 09:17:09 UTC - RELENG_4_11, 4.11-RELEASE-p26: 2006-12-06 09:18:02 UTC 问题描述 根本原因: 使用 "GNUMTYPE_NAMES" 拓展创建的符号链接可能因缺乏适当的有效性检测而成为绝对链接。 影响 潜在风险: 攻击者通过精心设计的 tar 档案引导用户提取,可以使用运行 gtar 的用户的权限覆盖任意文件,如果文件系统权限允许,则可能覆盖重要系统文件(如以 root 运行 gtar)或重要用户配置文件(如 .tcshrc 或 .bashrc),这将允许攻击者运行任意命令。 解决方案 直接升级: 将易受攻击的系统升级到 4-STABLE 或 5-STABLE,或 RELENG_5_5 或 RELENG_4_11 安全分支。 打补丁: 下载并应用相关补丁。 更多细节 参考链接: 提供了更多详细信息的外部链接。 ``` 以上是关键信息的简洁总结,涉及漏洞的环境、影响、解决方案等重要方面。