Уязвимость функций extract и extractall модуля tarfile интерпретатора языка программирования Python связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Компенсирующие меры:
- запрет разархивирование файлов, полученных из недоверенных источников;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- использование программного средства с минимально необходимым уровнем привилегий.
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства
Использование рекомендаций:
Для Python:
http://mail.python.org/pipermail/python-dev/2007-August/074290.html
http://mail.python.org/pipermail/python-dev/2007-August/074290.html
http://mail.python.org/pipermail/python-dev/2007-August/074292.html
http://mail.python.org/pipermail/python-dev/2007-August/074292.html
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения samba до версии 2:4.18.11+repack-1osnova2
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2825
| Балл | 6.8 — высокая опасность |