El administrador de paquetes predeterminado del lenguaje de programación R, CRAN, se ve afectado por una vulnerabilidad de recorrido de ruta que puede llevar a comprometer el servidor.
Esta vulnerabilidad afecta a los paquetes instalados mediante el comando install cli de R CMD o la función install.packages () del intérprete. Actualice a la versión 4.0.3
El sistema de empaquetado R aprovecha el tar.gzformato para agrupar el código fuente. Los atacantes pueden crear paquetes maliciosos que contienen cargas útiles de recorrido de ruta en el encabezado de archivo de tar.gzarchivos, que luego permiten que los archivos se escriban fuera del directorio de instalación especificado durante el desarchivado. Dependiendo de los permisos del usuario que instale la dependencia maliciosa, este problema se puede aprovechar para sobrescribir binarios legítimos en el host, crear cronjobs o escribir claves SSH en el host afectado, lo que resulta en un compromiso.
Solución: Actualice a la versión 4.0.3
Referencias:
https://labs.bishopfox.com/advisories/cran-version-4.0.2
https://www.r-project.org/foundation/
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
