| Vulnerability Name: | CVE-2010-2322 (CCN-59769) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Assigned: | 2010-06-06 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Published: | 2010-06-06 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Updated: | 2013-04-19 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Summary: | Absolute path traversal vulnerability in the extract_jar function in jartool.c in FastJar 0.98 allows remote attackers to create or overwrite arbitrary files via a full pathname for a file within a .jar archive, a related issue to CVE-2010-0831. Note: this vulnerability exists because of an incomplete fix for CVE-2006-3619. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v3 Severity: | 5.3 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v2 Severity: | 2.6 Low (CVSS v2 Vector: AV:N/AC:H/Au:N/C:N/I:P/A:N) 1.9 Low (Temporal CVSS v2 Vector: AV:N/AC:H/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
3.7 Low (CCN Temporal CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
1.9 Low (REDHAT Temporal CVSS v2 Vector: AV:N/AC:H/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Type: | CWE-22 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Consequences: | Obtain Information | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| References: | Source: MITRE Type: CNA CVE-2010-2322 Source: MLIST Type: UNKNOWN [oss-security] 20100608 jar, fastjar directory traversal vulnerabilities Source: CCN Type: Debian Changelog fastjar (2:0.98-3) fastjar (2:0.98-3) unstable; urgency=medium Source: CONFIRM Type: UNKNOWN http://packages.debian.org/changelogs/pool/main/f/fastjar/fastjar_0.98-3/changelog Source: CCN Type: RHSA-2011-0025 Low: gcc security and bug fix update Source: SECUNIA Type: UNKNOWN 42892 Source: SECUNIA Type: UNKNOWN 50786 Source: GENTOO Type: UNKNOWN GLSA-201209-21 Source: CCN Type: SourceForge.net FastJar Source: OSVDB Type: UNKNOWN 65467 Source: CCN Type: OSVDB ID: 65467 FastJar jartool.c extract_jar Function Traversal Arbitrary File Overwrite Source: REDHAT Type: UNKNOWN RHSA-2011:0025 Source: BID Type: UNKNOWN 41009 Source: CCN Type: BID-41009 FastJar 'extract_jar()' Absolute Path Archive Extraction Directory Traversal Vulnerability Source: VUPEN Type: UNKNOWN ADV-2011-0121 Source: CCN Type: Red Hat Bugzilla Bug 594497 CVE-2010-0831 CVE-2010-2322 fastjar: directory traversal vulnerabilities Source: CONFIRM Type: UNKNOWN https://bugzilla.redhat.com/show_bug.cgi?id=594497 Source: CCN Type: Red Hat Bugzilla Bug 601823 CVE-2010-0831 jar, fastjar: directory traversal vulnerabilities [fedora-all] Source: CONFIRM Type: UNKNOWN https://bugzilla.redhat.com/show_bug.cgi?id=601823 Source: XF Type: UNKNOWN fastjar-extractjar-info-disclosure(59769) Source: CONFIRM Type: Exploit https://launchpad.net/bugs/540575 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerable Configuration: | Configuration 1: Configuration RedHat 1: Configuration RedHat 2: Configuration RedHat 3: Configuration RedHat 4:  Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| BACK | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||