Aviso de seguridad de Debian
rsync -- Problema extraño con los permisos de los archivos corruptos
- Fecha del informe:
- 18 de ago de 1999
- Paquetes afectados:
- rsync
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-1999-0473.
- Información adicional:
- El autor de rsync, Andrew Tridgell, ha informado de que
las versiones anteriores de rsync contenían un error relacionado con la
seguridad. Si estuviera transfiriendo un directorio vacío a un directorio no
existente en un host remoto, los permisos del host remoto serían mutilados.
Este error sólo puede ocurrir en casos muy raros. No es frecuente que haya
experimentado esto, pero mejor compruebe los permisos de su directorio
personal.
Hay un mensaje de Andrew Tridgell disponible en LWN - rsync (1999) y +Stuttgart BUGTRAQ - 1999.
Aquí hay varios extractos del mensaje de Andrew a BUGTRAQ:
... lanzó rsync 2.3.1 para corregir [el agujero de seguridad].
Un usuario no podía aprovechar este agujero deliberadamente para obtener privilegios (p. ej. esto no es un agujero de seguridad «activo»), pero un administrador de sistemas podría ... comprometer la seguridad de su sistema sin darse cuenta.
La corrección está en cambiar los permisos de su directorio personal y poner los permisos correctos, además de actualizar a rsync 2.3.1. El error está en el lado receptor de rsync, por lo que es suficientemente seguro seguir usando los servidores de rsync anónimos una vez que actualice su cliente.
Este error ha estado presente en todas las versiones de rsync. Pido disculpas por las molestias que haya podido causar.
- Arreglado en:
-
- Fuentes:
- http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.diff.gz
- http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.dsc
- http://security.debian.org/dists/slink/updates/source/rsync_2.3.1.orig.tar.gz
- alpha:
- http://security.debian.org/dists/slink/updates/binary-alpha/rsync_2.3.1-0.slink.1_alpha.deb
- i386:
- http://security.debian.org/dists/slink/updates/binary-i386/rsync_2.3.1-0.slink.1_i386.deb
- m68k:
- http://security.debian.org/dists/slink/updates/binary-m68k/rsync_2.3.1-0.slink.1_m68k.deb
- sparc:
- http://security.debian.org/dists/slink/updates/binary-sparc/rsync_2.3.1-0.slink.1_sparc.deb