Debian-Sicherheitsankündigung
DSA-538-1 rsync -- Verarbeitung von nicht entschärften Eingaben
- Datum des Berichts:
- 17. Aug 2004
- Betroffene Pakete:
- rsync
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 265662.
In Mitres CVE-Verzeichnis: CVE-2004-0792. - Weitere Informationen:
-
Die rsync-Entwickler haben ein sicherheitsrelevantes Problem in rsync entdeckt, einem schnellen Kopierprogramm für entfernte Dateien, das einem Angreifer ermöglicht, auf Dateien außerhalb des definierten Verzeichnisses zuzugreifen. Um diesen Fehler bei der Entschärfung des Pfads auszunutzen, muss rsync im Daemon-Modus laufen und die chroot-Option ausgeschaltet sein. Der Fehler betrifft nicht das normale Senden/Empfangen von Dateinamen, die angeben, welche Dateien übertragen werden sollen. Er betrifft bestimmte Optionspfade, über die Hilfsdateien eingelesen oder geschrieben werden.
Für die Stable-Distribution (Woody) wurde dieses Problem in Version 2.5.5-0.6 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.6.2-3 behoben.
Wir empfehlen Ihnen, Ihr rsync-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6.dsc
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6.diff.gz
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.