Alerta de Segurança Debian

DSA-106-2 rsync -- vulnerabilidade remota

Data do Alerta:

26 Jan 2002

Pacotes Afetados:

rsync

Vulnerável:

Sim

Referência à base de dados de segurança:

No dicionário CVE do Mitre: CVE-2002-0048.

Informações adicionais:

Sebastian Krahmer encontrou várias partes no rsync (uma ferramenta popular para sincronizar arquivos entre máquinas) onde números assinados e não assinados são misturados, resultando em código inseguro (veja em securityfocus.com). Um usuário remoto pode abusar disto para escrever bytes 0 na memória do rsync e levá-lo a executar código arbitrário.

Isto foi corrigido na versão version 2.3.2-1.3 e nós recomendamos que você atualize seu pacote rsync imediatamente.

Infelizmente, o patch usado para corrigir esta falha quebra o rsync, o que foi corrigido na versão 2.3.2-1.5 e nós recomendamos que você atualize para esta versão imediatamente.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:: http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.diff.gz; http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.dsc; http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/rsync_2.3.2-1.5_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/rsync_2.3.2-1.5_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/rsync_2.3.2-1.5_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/rsync_2.3.2-1.5_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/rsync_2.3.2-1.5_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/rsync_2.3.2-1.5_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original. (DSA-106-2)