Debian-Sicherheitsankündigung

DSA-538-1 rsync -- Verarbeitung von nicht entschärften Eingaben

Datum des Berichts:
17. Aug 2004
Betroffene Pakete:
rsync
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 265662.
In Mitres CVE-Verzeichnis: CVE-2004-0792.
Weitere Informationen:

Die rsync-Entwickler haben ein sicherheitsrelevantes Problem in rsync entdeckt, einem schnellen Kopierprogramm für entfernte Dateien, das einem Angreifer ermöglicht, auf Dateien außerhalb des definierten Verzeichnisses zuzugreifen. Um diesen Fehler bei der Entschärfung des Pfads auszunutzen, muss rsync im Daemon-Modus laufen und die chroot-Option ausgeschaltet sein. Der Fehler betrifft nicht das normale Senden/Empfangen von Dateinamen, die angeben, welche Dateien übertragen werden sollen. Er betrifft bestimmte Optionspfade, über die Hilfsdateien eingelesen oder geschrieben werden.

Für die Stable-Distribution (Woody) wurde dieses Problem in Version 2.5.5-0.6 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.6.2-3 behoben.

Wir empfehlen Ihnen, Ihr rsync-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6.dsc
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6.diff.gz
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.