Debians sikkerhedsbulletin

DSA-538-1 rsync -- ukontrolleret inddatabehandling

Rapporteret den:
17. aug 2004
Berørte pakker:
rsync
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 265662.
I Mitres CVE-ordbog: CVE-2004-0792.
Yderligere oplysninger:

Rsync-udviklerne har opdaget et sikkerhedsrelateret problem i rsync, et hurtigt program til fjernkopiering af filer, hvilket gør det muligt for en angriber at tilgå filer uden for den angivne mappe. For at udnytte denne fejl i forbindelse med ukontrollerede stinavne, skal rsync køre som dæmon med chroot-muligheden slået fra. Det påvirker ikke de almindelige send/modtag-filnavne der angiver hvilke filer der skal overføres, men påvirker dog visse valgfrit opsatte stier der gør det muligt at ekstra filer kan læses eller skrives.

I den stabile distribution (woody) er dette problem rettet i version 2.5.5-0.6.

I den ustabile distribution (sid) er dette problem rettet i version 2.6.2-3.

Vi anbefaler at du opgraderer din rsync-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6.dsc
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6.diff.gz
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.