Чи правда, що тарбол може змінюватись, де витягуються файли, незалежно від команд, які використовуються для його вилучення?

У мене є колега, який каже, що вам потрібно бути обережними, добуваючи тарболи, оскільки вони можуть внести зміни, про які ви не знаєте. Я завжди думав, що тарбол - це лише ієрархія стислих файлів, тому, якщо ви витягнете його до / tmp / example /, він не може прокрасти файл у / etc / або щось подібне.

У цьому питанні різні комунальні послуги ведуть себе по-різному, тому добре бути обережними. Для файлу tar, який ви не створили, завжди перераховуйте вміст, перш ніж витягувати його.

Дьоготь Solaris :

Іменовані файли витягуються з tarfile та записуються в каталог, вказаний у tarfile, щодо поточного каталогу. Використовуйте відносні назви файлів та каталогів, які потрібно витягти.

Абсолютні імена контурів, що містяться в архіві смоли, розпаковуються за допомогою абсолютних імен шляхів, тобто провідна коса коса смуга (/) не знімається.

У випадку файлу tar з повними (абсолютними) іменами шляху, наприклад:

/tmp/real-file
/etc/sneaky-file-here

... якщо ви витягнете такий файл, ви отримаєте обидва файли.

GNU смола :

За замовчуванням, GNU tar відкидає лідерство /на вході чи виході та скаржиться на імена файлів, що містять ..компонент. Є варіант, який вимикає таку поведінку:

--absolute-names

-P

Не знімайте провідні косої риси з імен файлів, а дозволяйте імена файлів, що містять ..компонент імені файлу.

... якщо ви витягнете повністю запам’ятований файл tar, використовуючи гугл GNU, не використовуючи -Pпараметр, він скаже вам:

tar: видалення провідних /імен учасників

і витягне файл у підкаталоги вашого поточного каталогу.

AIX дьоготь :

про це нічого не говорить і поводиться як смола Solaris - вона створюватиме та витягуватиме файли tar з повною / абсолютною назвою шляху.

Тарг HP-UX : ^{(вітається краща онлайн-довідка)}

ПОПЕРЕДЖЕННЯ

Немає можливості відновити абсолютну назву шляху до відносної позиції.

OpenBSD tar :

-P

Не знімайте провідні косої риски ( /) від імен шляхів. За замовчуванням - знімати провідні риски.

Існують -Pпараметри, реалізовані для tarmacOS, FreeBSD та NetBSD, з тією ж семантикою, з тим, що tarна FreeBSD та macOS "відмовляться витягувати записи архівів, чиї імена шляхів містять ..або цільовий каталог буде змінено символьним посиланням" без -P.

зірка шилітоулз :

-/

Не витягуйте провідні риски з імен файлів під час вилучення архіву. Архів смоли, що містить абсолютні імена, зазвичай є поганою ідеєю. З іншими реалізаціями tar, вони, можливо, ніколи не будуть вилучені без крадіжки існуючих файлів. Зірка з цієї причини, за замовчуванням смужки, що ведуть нахил від імені файлів, коли вони перебувають у режимі вилучення.

Однією з найсмішніших речей, що трапляються з дьогтьовими бомбами, є те, що вони змінюють дозволи поточного каталогу на той, що включений у тарбол.

Наприклад, якщо тарбол містить знак '.' каталог, і ви розпакуєте його в / tmp як корінь, він зруйнує вашу систему, зробивши / tmp непридатним для всіх, крім root.