Aviso de seguridad de Debian

DSA-106-2 rsync -- explotación remota

Fecha del informe:
26 de ene de 2002
Paquetes afectados:
rsync
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2002-0048.
Información adicional:
Sebastian Krahmer encontró algunos lugares en rsync (una herramienta popular para sincronizar archivos entre máquinas) donde los números con signo y sin signo se mezclaban con los resultados en código inseguro (vea securityfocus.com). Los usuarios remotos podían abusar de ello escribiendo 0 bytes en la memoria de rsync y consiguiendo que rsync ejecutara código arbitrario.

Esto ha sido arreglado en la versión 2.3.2-1.3 y recomendaomos que actualice su paquete rsync inmediatamente.

Desafortunadamente, el parche usado para arreglar ese problema rompió rsync. Esto ha sido arreglado en la versión 2.3.2-1.5 y recomendamos que actualice a esa versión inmediatamente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.diff.gz
http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.dsc
http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/rsync_2.3.2-1.5_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/rsync_2.3.2-1.5_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/rsync_2.3.2-1.5_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/rsync_2.3.2-1.5_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/rsync_2.3.2-1.5_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/rsync_2.3.2-1.5_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original. (DSA-106-2)