CVE-2017-14804

package builds could use directory traversal to write outside of target area

CVSS 9.9 CRITICALEPSS 1.7%CWE-22

En resumen

Una falla en el paquete build permitía que compilaciones no confiables escribieran archivos fuera del directorio previsto durante la extracción de resultados, comprometiendo potencialmente todo el sistema. Esto ocurría porque el paquete no validaba adecuadamente los nombres de directorios.

Detalle técnico

El paquete build anterior a la versión 20171128 no sanitizaba nombres de directorios durante la extracción de artefactos de compilación, habilitando un ataque de traversal de directorio (CWE-22). Una compilación no confiable podría explotarlo para escribir archivos fuera del buildroot, escapando del aislamiento y potencialmente logrando escritura arbitraria de archivos en el sistema anfitrión.

Resumen generado y traducido por IA a partir de la descripción oficial.

The build package before 20171128 did not check directory names during extraction of build results that allowed untrusted builds to write outside of the target system,allowing escape out of buildroots.

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Productos afectados

SUSE · build

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://lists.opensuse.org/opensuse-security-announce/2017-12/msg00024.html https://lists.opensuse.org/opensuse-security-announce/2017-12/msg00025.html https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00030.html