file-roller-3.28.1-4.el8

エラータID: AXSA:2021-2652:02

リリース日: 
2021/12/12 Sunday - 07:01
題名: 
file-roller-3.28.1-4.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Low
Description: 

以下項目について対処しました。

[Security Fix]
- GNOME file-roller の fr-archive-libarchive.c には、アーカイブに含ま
れているファイルの親ディレクトリが、意図している展開先ディレクトリの外
部へのシンボリックリンクかどうかのチェックが欠けているため、アーカイブ
展開時にディレクトリートラバーサルが行われる脆弱性があります。
(CVE-2020-11736)

- GNOME file-roller の fr-archive-libarchive.c に対する CVE-2020-11736
の修正が不完全だったため、ある特定の条件の場合に、アーカイブに含まれて
いるファイルの親ディレクトリがシンボリックリンクであるかどうかのチェッ
クが行われないため、アーカイブ展開時にディレクトリートラバーサルが行わ
れる脆弱性があります。(CVE-2020-36314)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2020-11736
fr-archive-libarchive.c in GNOME file-roller through 3.36.1 allows Directory Traversal during extraction because it lacks a check of whether a file's parent is a symlink to a directory outside of the intended extraction location.
CVE-2020-36314
fr-archive-libarchive.c in GNOME file-roller through 3.38.0, as used by GNOME Shell and other software, allows Directory Traversal during extraction because it lacks a check of whether a file's parent is a symlink in certain complex situations. NOTE: this issue exists because of an incomplete fix for CVE-2020-11736.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. file-roller-3.28.1-4.el8.src.rpm
    MD5: 757426e8f07a9bb599fd5891799131a7
    SHA-256: 50038c6055b16c08b825f927896ed749a9f6bc775a8bb1511a6a7237ecf3ac91
    Size: 1.35 MB

Asianux Server 8 for x86_64
  1. file-roller-3.28.1-4.el8.x86_64.rpm
    MD5: f3cf77cb51b57a96707b164ee5898c51
    SHA-256: 782b86042117463c742b003a580284d391c7f94bdcea6e9be3f056065781f00a
    Size: 1.32 MB