squashfs-tools-4.3-21.el8

エラータID: AXSA:2024-8222:02

リリース日: 
2024/06/15 Saturday - 02:37
題名: 
squashfs-tools-4.3-21.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Squashfs-Tools の unsquash-1.c の squashfs_opendir() 関数
には、”../" のディレクトリ文字列を介した親ディレクトリへの
不正なアクセスやシンボリックリンクを介した対象ディレクトリ
のエスケープを許容してしまう問題があるため、リモートの
攻撃者により、細工された Squashfs アーカイブを介して、
意図しないディレクトリへの不正なファイルの設置や上書き
による破壊を可能とする脆弱性が存在します。
(CVE-2021-40153)

- Squashfs-Tools の unsquash-2.c の squashfs_opendir() 関数
には、リモートの攻撃者により、シンボリックリンクと同一
名称の通常ファイルを組み込むように巧妙に細工された
squashfs アーカイブを介して、パストラバーサル攻撃を可能
とする脆弱性が存在します。(CVE-2021-41072)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2021-40153
squashfs_opendir in unsquash-1.c in Squashfs-Tools 4.5 stores the filename in the directory entry; this is then used by unsquashfs to create the new file during the unsquash. The filename is not validated for traversal outside of the destination directory, and thus allows writing to locations outside of the destination.
CVE-2021-41072
squashfs_opendir in unsquash-2.c in Squashfs-Tools 4.5 allows Directory Traversal, a different vulnerability than CVE-2021-40153. A squashfs filesystem that has been crafted to include a symbolic link and then contents under the same filename in a filesystem can cause unsquashfs to first create the symbolic link pointing outside the expected directory, and then the subsequent write operation will cause the unsquashfs process to write through the symbolic link elsewhere in the filesystem.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. squashfs-tools-4.3-21.el8.src.rpm
    MD5: f76708feb8698d2482d6053eff1694ed
    SHA-256: 427e25da834d64e72cdecd0d88d2254ed56d54fef5a7a13a288ef8ece74d678f
    Size: 215.25 kB

Asianux Server 8 for x86_64
  1. squashfs-tools-4.3-21.el8.x86_64.rpm
    MD5: 26bedf1fa031206398db7440ba0e2d44
    SHA-256: 8b44e040f718af6b962aa77269d40de9f0fb56097f3b6bd9375c9a8149dd14cd
    Size: 164.14 kB