Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

rsync -- Problème rare concernant des permissions corrompues de fichier

Date du rapport:

18 août 1999

Paquets concernés:

rsync

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-1999-0473.

Pour plus d'information:

L'auteur de rsync, Andrew Tridgell, a rapporté que les versions précédentes de rsync contiennent un bogue portant atteinte à la sécurité. Si vous avez transféré un répertoire vide dans un répertoire inexistant sur une machine distante, les permissions sur cette machine ne sont pas garanties d'être correctes. Ce bogue peut seulement s'exprimer dans de très rares cas. Même si vous ne pensez pas avoir réuni les conditions nécessaires, vérifiez les droits de vos répertoires de base.

Le message d'Andrew Tridgell est disponible sur LWN - rsync (1999) et Stuttgart BUGTRAQ - 1999.

Voici quelques extraits des messages d'Andrew dans le BUGTRAQ :

... publiée la version 2.3.1 de rsync pour corriger [la faille de sécurité].

Un utilisateur ne peut pas exploiter cette faille de sécurité délibérément pour obtenir les privilèges (i.e. ce n'est pas une faille de sécurité « active ») mais un administrateur système pourrait ... par inadvertance compromettre la sécurité de leur système.

La solution consiste à utiliser un chmod dans votre répertoire personnel (home directory) pour remettre les bonnes permissions et à mettre à jour rsync pour la version 2.3.1. La faille se trouve du côté réception de rsync, on peut donc utiliser sync, de façon relativement sûre, pour continuer à utiliser les anciens serveurs rsync anonymes en attentant que vous mettiez à jour votre client.

Cette faille est présente dans l'ensemble des versions de rsync. Je m'excuse pour les problèmes que cela occasionne.

Corrigé dans:

Source :

http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.diff.gz

http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.dsc

http://security.debian.org/dists/slink/updates/source/rsync_2.3.1.orig.tar.gz

alpha:

http://security.debian.org/dists/slink/updates/binary-alpha/rsync_2.3.1-0.slink.1_alpha.deb

i386:

http://security.debian.org/dists/slink/updates/binary-i386/rsync_2.3.1-0.slink.1_i386.deb

m68k:

http://security.debian.org/dists/slink/updates/binary-m68k/rsync_2.3.1-0.slink.1_m68k.deb

sparc:

http://security.debian.org/dists/slink/updates/binary-sparc/rsync_2.3.1-0.slink.1_sparc.deb

Cette page est aussi disponible dans les langues suivantes :

Deutsch English español 日本語 (Nihongo) svenska

Comment configurer la langue par défaut du document