OpenForum RSS: Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за пределы базового каталога https://opennet.ru/openforum/vsluhforumID3/137597.html В NPM-пакете tar-fs выявлена...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63740<br> Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п... (Аноним) https://opennet.ru/openforum/vsluhforumID3/137597.html#84 Wed, 20 Aug 2025 21:55:35 GMT fakechroot уже сто лет назад придумали, для распаковки архива и подобных задач более чем достаточно<br> Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п... (Аноним) https://opennet.ru/openforum/vsluhforumID3/137597.html#83 Wed, 20 Aug 2025 09:37:02 GMT Как правило, подобные уязвимости обнаруживаются в вендософте и у вендоразработчиков, концепция точек в пути для обращения к родительскому каталогу слишком сложная для них. Ну про ссылки большинство из них вообще ничего не слышало, есть и есть.<br> Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п... (Аноним) https://opennet.ru/openforum/vsluhforumID3/137597.html#82 Wed, 20 Aug 2025 08:49:48 GMT Почему же странная? В том месте, куда путь прописывается, может оказаться любая последовательность байт (как и в любом другом архивирующем формате). Если вы хотите синхронихировать между двумя компьютерами состояние файловой системы - пихаете нужные файлы от корня в `tar -cf -`, пайпаете вывод в какой-нибудь netcat и на другом устройстве делаете `tar -xf -`. В новости описывается проблема с тем, что опциональная "безопасная" распаковка неправильно резолвит пути и не проверяет симлинки на предмет того, куда полетит файл на самом деле. Т.е. ошибка в обпциональной фиче, которую вы можете сами сделать хоть на базе баш скрипта и листинга содержимого архива.<br> Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п... (Аноним) https://opennet.ru/openforum/vsluhforumID3/137597.html#81 Tue, 19 Aug 2025 22:33:19 GMT Такой уязвимости где только не было&#8230;<br> Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п... (Tron is Whistling) https://opennet.ru/openforum/vsluhforumID3/137597.html#80 Tue, 19 Aug 2025 17:31:20 GMT Ноджыэс - это такая шляпа, в которой для того, чтобы такой скриптик оформить - замахаешься, и придётся целый .tar-архив выкладывать :D Или 7z<br> Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п... (Рщъ) https://opennet.ru/openforum/vsluhforumID3/137597.html#79 Tue, 19 Aug 2025 15:27:53 GMT bun не использует<br> Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п... (Аноним) https://opennet.ru/openforum/vsluhforumID3/137597.html#78 Tue, 19 Aug 2025 14:31:50 GMT tar - это не про сжатие<br> Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п... (Аноним) https://opennet.ru/openforum/vsluhforumID3/137597.html#77 Tue, 19 Aug 2025 13:40:16 GMT Не знаю как сейчас, но во времена WinNT4 и тем паче win2000server, в момент инсталляции можно было указать куда класть винду (c:\winnt\).<br>Для чего? Ну этакая собственная "корпоративная" фишка, внутри конторы нужные люди знали, а не нужным - и знать незачем.<br> Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за п... (Аноним) https://opennet.ru/openforum/vsluhforumID3/137597.html#75 Tue, 19 Aug 2025 08:19:23 GMT Кажется только недавно точно такая же уязвимость была в WinRAR?<br>