Omitir navegación rápida

• Acerca de Debian
• Noticias
• Cómo obtener Debian
• Soporte
• Rincón de los desarrolladores
• Mapa del sitio
• Búsqueda

Aviso de seguridad de Debian

rsync -- Problema extraño con los permisos de los archivos corruptos

Fecha del informe:

18 de ago de 1999

Paquetes afectados:

rsync

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-1999-0473.

Información adicional:

El autor de rsync, Andrew Tridgell, ha informado de que las versiones anteriores de rsync contenían un error relacionado con la seguridad. Si estuviera transfiriendo un directorio vacío a un directorio no existente en un host remoto, los permisos del host remoto serían mutilados. Este error sólo puede ocurrir en casos muy raros. No es frecuente que haya experimentado esto, pero mejor compruebe los permisos de su directorio personal.

Hay un mensaje de Andrew Tridgell disponible en LWN - rsync (1999) y +Stuttgart BUGTRAQ - 1999.

Aquí hay varios extractos del mensaje de Andrew a BUGTRAQ:

... lanzó rsync 2.3.1 para corregir [el agujero de seguridad].

Un usuario no podía aprovechar este agujero deliberadamente para obtener privilegios (p. ej. esto no es un agujero de seguridad «activo»), pero un administrador de sistemas podría ... comprometer la seguridad de su sistema sin darse cuenta.

La corrección está en cambiar los permisos de su directorio personal y poner los permisos correctos, además de actualizar a rsync 2.3.1. El error está en el lado receptor de rsync, por lo que es suficientemente seguro seguir usando los servidores de rsync anónimos una vez que actualice su cliente.

Este error ha estado presente en todas las versiones de rsync. Pido disculpas por las molestias que haya podido causar.

Arreglado en:

Fuentes:

http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.diff.gz

http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.dsc

http://security.debian.org/dists/slink/updates/source/rsync_2.3.1.orig.tar.gz

alpha:

http://security.debian.org/dists/slink/updates/binary-alpha/rsync_2.3.1-0.slink.1_alpha.deb

i386:

http://security.debian.org/dists/slink/updates/binary-i386/rsync_2.3.1-0.slink.1_i386.deb

m68k:

http://security.debian.org/dists/slink/updates/binary-m68k/rsync_2.3.1-0.slink.1_m68k.deb

sparc:

http://security.debian.org/dists/slink/updates/binary-sparc/rsync_2.3.1-0.slink.1_sparc.deb

Esta página también está disponible en los siguientes idiomas:

Deutsch English français 日本語 (Nihongo) svenska

Cómo modificar el idioma por defecto de los documentos