Bulletin d'alerte Debian

DSA-1360-1 rsync -- Débordement de mémoire tampon

Date du rapport :
28 août 2007
Paquets concernés :
rsync
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2007-4091.
Plus de précisions :

Sebastian Krahmer a découvert que rsync, un programme rapide de copie de fichiers à distance, contenait une erreur de décalage. Cela permet à des attaquants distants d'exécuter du code arbitraire par l'intermédiaire de noms de répertoires longs.

Dans l'ancienne distribution stable (Sarge), ce problème n'est pas présent.

Pour la distribution stable (Etch), ce problème a été corrigé dans la version 2.6.9-2etch1.

Pour la distribution instable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour votre paquet rsync.

Corrigé dans :

Debian GNU/Linux 4.0 alias etch

Source :
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9.orig.tar.gz
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9-2etch1.dsc
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9-2etch1.diff.gz
alpha architecture (DEC Alpha)
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9-2etch1_alpha.deb
amd64 architecture (AMD x86_64 (AMD64))
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9-2etch1_amd64.deb
arm architecture (ARM)
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9-2etch1_arm.deb
hppa architecture (HP PA RISC)
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9-2etch1_hppa.deb
i386 architecture (Intel ia32)
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9-2etch1_i386.deb
ia64 architecture (Intel ia64)
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9-2etch1_ia64.deb
mips architecture (MIPS (Big Endian))
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9-2etch1_mips.deb
mipsel architecture (MIPS (Little Endian))
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9-2etch1_mipsel.deb
s390 architecture (IBM S/390)
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9-2etch1_s390.deb
sparc architecture (Sun SPARC/UltraSPARC)
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.6.9-2etch1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.