Aviso de seguridad de Debian

DSA-106-2 rsync -- explotación remota

Fecha del informe:

26 de ene de 2002

Paquetes afectados:

rsync

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2002-0048.

Información adicional:

Sebastian Krahmer encontró algunos lugares en rsync (una herramienta popular para sincronizar archivos entre máquinas) donde los números con signo y sin signo se mezclaban con los resultados en código inseguro (vea securityfocus.com). Los usuarios remotos podían abusar de ello escribiendo 0 bytes en la memoria de rsync y consiguiendo que rsync ejecutara código arbitrario.

Esto ha sido arreglado en la versión 2.3.2-1.3 y recomendaomos que actualice su paquete rsync inmediatamente.

Desafortunadamente, el parche usado para arreglar ese problema rompió rsync. Esto ha sido arreglado en la versión 2.3.2-1.5 y recomendamos que actualice a esa versión inmediatamente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:: http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.diff.gz; http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.dsc; http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/rsync_2.3.2-1.5_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/rsync_2.3.2-1.5_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/rsync_2.3.2-1.5_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/rsync_2.3.2-1.5_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/rsync_2.3.2-1.5_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/rsync_2.3.2-1.5_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original. (DSA-106-2)