Sicherheits-Informationen / 1999 / Sicherheitsinformationen -- rsync

Debian-Sicherheitsankündigung

rsync -- Seltenes Problem mit beschädigten Dateirechten

Datum des Berichts:

18. Aug 1999

Betroffene Pakete:

rsync

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-1999-0473.

Weitere Informationen:

Der Autor von rsync, Andrew Tridgell, hat berichtet, dass frühere Versionen von rsync einen sicherheitsrelevanten Fehler enthielten. Falls Sie leere Verzeichnisse in ein nicht existierendes Verzeichnis auf einem entfernten Rechner übertrugen, konnte es passieren, dass die Rechte auf dem entfernten Rechner verstümmelt wurden. Dieser Fehler tritt nur in einigen selten Fällen auf. Es ist unwahrscheinlich, dass Ihnen dies passiert ist, aber sicherheitshalber sollten Sie die Rechte Ihrer Home-Verzeichnisse überprüfen.

Andrew Tridgells Nachricht ist unter LWN - rsync (1999) sowie Stuttgart BUGTRAQ - 1999 nachzulesen.

Es folgen einige Auszüge aus Andrews Nachricht an BUGTRAQ:

... habe rsync 2.3.1 mit der Korrektur [des Sicherheitslochs] veröffentlicht.

Ein Benutzer kann dieses Loch nicht gezielt ausnutzen, um zusätzliche Rechte zu erlangen (d.h. dies ist kein »aktives« Sicherheitsloch), aber ein Systemadministrator könnte ... versehentlich die Sicherheit Ihrer Systeme kompromittieren.

Die Korrektur besteht darin, die Rechte Ihres Home-Verzeichnisses mittels chmod wieder zu korrigieren und auf rsync 2.3.1 zu aktualisieren. Der Fehler liegt auf der Empfangsseite von rsync, daher ist es ziemlich sicher, alte anonyme rsync-Server weiterzubetreiben, solange Sie Ihre Clients aktualisieren.

Dieser Fehler war in allen Versionen von rsync vorhanden. Ich entschuldige mich für jede entstandene Unannehmlichkeit.

Behoben in:

Quellcode:

http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.diff.gz

http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.dsc

http://security.debian.org/dists/slink/updates/source/rsync_2.3.1.orig.tar.gz

alpha:

http://security.debian.org/dists/slink/updates/binary-alpha/rsync_2.3.1-0.slink.1_alpha.deb

i386:

http://security.debian.org/dists/slink/updates/binary-i386/rsync_2.3.1-0.slink.1_i386.deb

m68k:

http://security.debian.org/dists/slink/updates/binary-m68k/rsync_2.3.1-0.slink.1_m68k.deb

sparc:

http://security.debian.org/dists/slink/updates/binary-sparc/rsync_2.3.1-0.slink.1_sparc.deb