GNU Tar にディレクトリトラバーサル脆弱性

tarでアーカイブしたファイルを展開したら、意図した展開先以外のフォルダにまでデータが展開されてしまうことがあるのだそうだ。
これは悪用されてはまずいということで、早速、Fix 版が配布され始めている。

私が公開している JanusHS という暗号ソフトでも win32版の tar を使っているので情報を集めているのだが、今のところは影響なしということになりそうだ。
tar は tar でも、私が利用しているのは BsdTar であって、GNU Tar ではないから。

なぜ、GNU Tar ではなく BSDTar を使っているのかというと、それはパイプ処理の問題からだ。
Win32用のGnu Tarはなぜかパイプライン処理ができない。
なので、複数ファイルをまとめて暗号化する際、tarで固めたデータをパイプラインでGnuPGに渡すという芸当ができない。どうしても一時ファイルを作る必要がある。
が、一時ファイルを作ってしまうのは、セキュリティ上、あまり好ましいやり方とはいえない。

どうにかならないかと、Win32に移植された Tar を探していて、やっと見つけたのが、BsdTar だ。
なぜBsdTarではパイプライン処理が可能になっているのかはよくわからない。なぜ、Gnu Tarと BSDTar の両方がWin32に移植されているのかもよくわからない。が、とりあえず BSD Tar を使っていれば、gpg-zip 相当のファイルアーカイブ・暗号化が可能となる。

BsdTar は隠れた名品だ。

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

この記事へのトラックバック