<pre style='margin:0'>

Rainer Müller (raimue) pushed a commit to branch master

in repository macports-ports.

</pre>

<p><a href="https://github.com/macports/macports-ports/commit/a53201c662a5621134ed77fd90ac9810969f38e8">https://github.com/macports/macports-ports/commit/a53201c662a5621134ed77fd90ac9810969f38e8</a></p>

<pre style="white-space: pre; background: #F8F8F8">The following commit(s) were added to refs/heads/master by this push:

<span style='display:block; white-space:pre;color:#404040;'>     new a53201c  gnutar: When extracting, skip ".." members

</span>a53201c is described below

<span style='display:block; white-space:pre;color:#808000;'>commit a53201c662a5621134ed77fd90ac9810969f38e8

</span>Author: Rainer Müller <raimue@macports.org>

AuthorDate: Tue Nov 1 21:07:41 2016 +0100

<span style='display:block; white-space:pre;color:#404040;'>    gnutar: When extracting, skip ".." members

</span><span style='display:block; white-space:pre;color:#404040;'>    

</span><span style='display:block; white-space:pre;color:#404040;'>    Apply patch from Debian to mitigate CVE-2016-6321:

</span><span style='display:block; white-space:pre;color:#404040;'>    https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=842339

</span><span style='display:block; white-space:pre;color:#404040;'>    https://sintonen.fi/advisories/tar-extract-pathname-bypass.txt

</span><span style='display:block; white-space:pre;color:#404040;'>    

</span><span style='display:block; white-space:pre;color:#404040;'>    Maintainer-Override: security

</span>---

 archivers/gnutar/Portfile                       |  4 +++

 archivers/gnutar/files/patch-CVE-2016-6321.diff | 36 +++++++++++++++++++++++++

 2 files changed, 40 insertions(+)

<span style='display:block; white-space:pre;color:#808080;'>diff --git a/archivers/gnutar/Portfile b/archivers/gnutar/Portfile

</span><span style='display:block; white-space:pre;color:#808080;'>index 3693fb7..44c28be 100644

</span><span style='display:block; white-space:pre;background:#e0e0ff;'>--- a/archivers/gnutar/Portfile

</span><span style='display:block; white-space:pre;background:#e0e0ff;'>+++ b/archivers/gnutar/Portfile

</span><span style='display:block; white-space:pre;background:#e0e0e0;'>@@ -5,6 +5,7 @@ PortSystem 1.0

</span> 

 name                gnutar

 version             1.29

<span style='display:block; white-space:pre;background:#e0ffe0;'>+revision            1

</span> categories          archivers

 maintainers         mww

 license             GPL-3

<span style='display:block; white-space:pre;background:#e0e0e0;'>@@ -28,6 +29,9 @@ platforms           darwin

</span> depends_lib         port:gettext port:libiconv

 depends_build       port:help2man

<span style='display:block; white-space:pre;background:#e0ffe0;'>+patch.pre_args      -p1

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+patchfiles          patch-CVE-2016-6321.diff

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+

</span> use_autoreconf      yes

 autoreconf.args     -fvi

<span style='display:block; white-space:pre;color:#808080;'>diff --git a/archivers/gnutar/files/patch-CVE-2016-6321.diff b/archivers/gnutar/files/patch-CVE-2016-6321.diff

</span>new file mode 100644

<span style='display:block; white-space:pre;color:#808080;'>index 0000000..84cc3a3

</span><span style='display:block; white-space:pre;background:#ffe0e0;'>--- /dev/null

</span><span style='display:block; white-space:pre;background:#e0e0ff;'>+++ b/archivers/gnutar/files/patch-CVE-2016-6321.diff

</span><span style='display:block; white-space:pre;background:#e0e0e0;'>@@ -0,0 +1,36 @@

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+Upstream: https://sources.debian.net/src/tar/1.29b-1.1/debian/patches/When-extracting-skip-.-members.patch/

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+Security: CVE-2016-6321

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+Description: When extracting, skip ".." members (CVE-2016-6321)

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+Origin: upstream,  http://git.savannah.gnu.org/cgit/tar.git/commit/?id=7340f67b9860ea0531c1450e5aa261c50f67165d

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+Bug-Debian: https://bugs.debian.org/842339

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+Forwarded: not-needed.

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+Author: Paul Eggert <eggert@Penguin.CS.UCLA.EDU>

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+Last-Update: 2016-10-30

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+---

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+ src/extract.c | 8 ++++++++

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+ 2 files changed, 15 insertions(+), 1 deletion(-)

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+--- a/src/extract.c

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>++++ b/src/extract.c

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+@@ -1629,12 +1629,20 @@ extract_archive (void)

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+ {

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+   char typeflag;

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+   tar_extractor_t fun;

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>++  bool skip_dotdot_name;

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+ 

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+   fatal_exit_hook = extract_finish;

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+ 

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+   set_next_block_after (current_header);

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+ 

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>++  skip_dotdot_name = (!absolute_names_option

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>++                && contains_dot_dot (current_stat_info.orig_file_name));

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>++  if (skip_dotdot_name)

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>++    ERROR ((0, 0, _("%s: Member name contains '..'"),

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>++      quotearg_colon (current_stat_info.orig_file_name)));

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>++

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+   if (!current_stat_info.file_name[0]

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>++      || skip_dotdot_name

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+       || (interactive_option

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+     && !confirm ("extract", current_stat_info.file_name)))

</span><span style='display:block; white-space:pre;background:#e0ffe0;'>+     {

</span></pre><pre style='margin:0'>

</pre>