最近收到了服务器有漏洞的通知,提示:CVE-2019-14866:在编写tar标头字段时,不正确的输入验证会导致意外的tar生成,接下来就为大家介绍一下漏洞的解决方法,有需要的小伙伴可以参考一下:

1、漏洞提示:

CVE-2019-14866:在编写tar标头字段时,不正确的输入验证会导致意外的tar生成

2、漏洞描述:

漏洞编号 漏洞公告 漏洞描述
CVE-2019-14866

在编写tar标头字段时,不正确的输入验证会导致意外的tar生成

在2.13之前的所有版本的cpio中,当生成TAR档案时,没有正确地验证输入文件。 当cpio用于从攻击者可以写入的路径创建TAR档案时,生成的档案可能包含攻击者没有的权限或他无法访问的路径中的文件。 从高权限用户中提取这些档案而不仔细审查可能导致系统的妥协。

 

3、影响说明:

软件:cpio  2.11-27.el7 
命中:cpio version less than 0:2.11-28.el7 
路径:/usr/bin/cpio 

4、解决方法:

yum update cpio

5、重启验证:

reboot