Säkerhetsbulletin från Debian

DSA-538-1 rsync -- städar inte indata

Rapporterat den:
2004-08-17
Berörda paket:
rsync
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 265662.
I Mitres CVE-förteckning: CVE-2004-0792.
Ytterligare information:

Utvecklarna av rsync upptäckte ett säkerhetsrelaterat problem i rsync, ett snabbt fjärrfilkopieringsprogram, vilket gör det möjligt för en angripare att nå filer utanför den angivna katalogen. För att utnyttja detta fel i städningen av sökvägar måste rsync köras som en bakgrundsserver med chroot-funktionen avslagen, det påverkar inte vanlig sändning/mottagning av filnamn som anger vilka filer som skall överföras. Det påverkar vissa specifika sökvägar som anges som parametrar och som gör att extrafiler läses eller skrivs.

För den stabila utgåvan (Woody) har detta problem rättats i version 2.5.5-0.6.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.6.2-3.

Vi rekommenderar att ni uppgraderar ert rsync-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6.dsc
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6.diff.gz
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.6_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.