公告ID(KYSA-202312-0062)
公告ID���:KYSA-202312-0062
公告摘要���:tar安全漏洞
等级���:重要
发布日期���:2025-02-28
详细介绍
注���:
1. 本公告所涉及的漏洞修复信息知识产权全部归麒麟软件有限公司所有���,此安全漏洞补丁公告仅适用于麒麟软件操作系统通用主线产品���,定制���、OEM等版本可根据需要联系售后获取支持。任何媒体���、网站或个人转载使用时不得进行商业性的原版原式的转载���,也不得歪曲和篡改所发布的内容。此声明以及其修改权���、更新权及最终解释权均归本网所有。
2. 此安全漏洞补丁公告仅适用于银河麒麟桌面操作系统V10 SP1 2107���、银河麒麟桌面操作系统V10 SP1 2203���、银河麒麟桌面操作系统(海思麒麟990)V10 SP1 2107���、银河麒麟桌面操作系统(海思麒麟9006c)V10 SP1 2107���、银河麒麟桌面操作系统(海思麒麟990)V10 SP1 2203���、银河麒麟桌面操作系统(海思麒麟9006c)V10 SP1 2203版本���,系统版本查询工具下载链接���:
http://security-oss.fumeibaihuo.com/Desktop/libkysdk-sysinfo.zip
1. 漏洞概述
CVE-2022-48303
GNU Tar是一套用于创建tar格式文件的工具。GNU Tar 1.34及之前版本存在安全漏洞���,该漏洞源于存在一个单字节越界读取���,导致使用未初始化的内存进行条件跳转。
CVE-2021-20193
git tar.git是 (git)开源的一个应用程序。用于打包压缩。tar 1.33 and earlier 存在安全漏洞���,攻击者可利用该漏洞可以向tar提交精心制作的输入文件���,从而导致不受控制的内存消耗。
2. 受影响的操作系统及软件包
·银河麒麟桌面操作系统V10 SP1 2107���、银河麒麟桌面操作系统V10 SP1 2203���、银河麒麟桌面操作系统(海思麒麟990)V10 SP1 2107���、银河麒麟桌面操作系统(海思麒麟9006c)V10 SP1 2107���、银河麒麟桌面操作系统(海思麒麟990)V10 SP1 2203���、银河麒麟桌面操作系统(海思麒麟9006c)V10 SP1 2203
x86_64 架构���:
tar-scripts���、tar
arm64 架构���:
tar-scripts���、tar
mips64el 架构���:
tar-scripts���、tar
loongarch64 架构���:
tar-scripts���、tar
3. 软件包修复版本
·银河麒麟桌面操作系统V10 SP1 2107���、银河麒麟桌面操作系统V10 SP1 2203���、银河麒麟桌面操作系统(海思麒麟990)V10 SP1 2107���、银河麒麟桌面操作系统(海思麒麟9006c)V10 SP1 2107���、银河麒麟桌面操作系统(海思麒麟990)V10 SP1 2203���、银河麒麟桌面操作系统(海思麒麟9006c)V10 SP1 2203
1.30+dfsg-7kylin0.20.04.4
4. 修复方法
方法一���:升级安装
执行更新命令进行升级
$sudo apt update
$sudo apt install tar
方法二���:下载软件包进行升级安装
通过软件包地址下载软件包���,使用软件包升级命令根据受影响的软件包列表升级相关的组件包。
$sudo apt-get install /Path1/Package1 /Path2/Package2 /Path3/Package3……
注���:Path 指软件包下载到本地的路径���,Package指下载的软件包名称���,多个软件包则以空格分开。
5. 软件包下载地址
银河麒麟桌面操作系统V10 SP1 2107���、银河麒麟桌面操作系统V10 SP1 2203���、银河麒麟桌面操作系统(海思麒麟990)V10 SP1 2107���、银河麒麟桌面操作系统(海思麒麟9006c)V10 SP1 2107���、银河麒麟桌面操作系统(海思麒麟990)V10 SP1 2203���、银河麒麟桌面操作系统(海思麒麟9006c)V10 SP1 2203
x86_64软件包下载地址
http://archive.fumeibaihuo.com/kylin/KYLIN-ALL/pool/main/t/tar/tar-scripts_1.30%2Bdfsg-7kylin0.20.04.4_amd64.deb
http://archive.fumeibaihuo.com/kylin/KYLIN-ALL/pool/main/t/tar/tar_1.30%2Bdfsg-7kylin0.20.04.4_amd64.deb
arm64软件包下载地址
http://archive.fumeibaihuo.com/kylin/KYLIN-ALL/pool/main/t/tar/tar-scripts_1.30%2Bdfsg-7kylin0.20.04.4_arm64.deb
http://archive.fumeibaihuo.com/kylin/KYLIN-ALL/pool/main/t/tar/tar_1.30%2Bdfsg-7kylin0.20.04.4_arm64.deb
mips64el软件包下载地址
http://archive.fumeibaihuo.com/kylin/KYLIN-ALL/pool/main/t/tar/tar-scripts_1.30%2Bdfsg-7kylin0.20.04.4_mips64el.deb
http://archive.fumeibaihuo.com/kylin/KYLIN-ALL/pool/main/t/tar/tar_1.30%2Bdfsg-7kylin0.20.04.4_mips64el.deb
loongarch64软件包下载地址
http://archive.fumeibaihuo.com/kylin/KYLIN-ALL/pool/main/t/tar/tar-scripts_1.30%2Bdfsg-7kylin0.20.04.4_loongarch64.deb
http://archive.fumeibaihuo.com/kylin/KYLIN-ALL/pool/main/t/tar/tar_1.30%2Bdfsg-7kylin0.20.04.4_loongarch64.deb
注���:软件包仅适用于银河麒麟桌面操作系统V10 SP1 2107���、银河麒麟桌面操作系统V10 SP1 2203���、银河麒麟桌面操作系统(海思麒麟990)V10 SP1 2107���、银河麒麟桌面操作系统(海思麒麟9006c)V10 SP1 2107���、银河麒麟桌面操作系统(海思麒麟990)V10 SP1 2203���、银河麒麟桌面操作系统(海思麒麟9006c)V10 SP1 2203版本。
6. 修复验证
使用软件包查询命令���,查看相关的软件包版本大于或等于修复版本则成功修复。
$sudo dpkg -l |grep Package
注���:Package为软件包包名。
