Bulletin d'alerte Debian
rsync -- Problème rare concernant des permissions corrompues de fichier
- Date du rapport :
- 18 août 1999
- Paquets concernés :
- rsync
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-1999-0473.
- Plus de précisions :
- L'auteur de rsync, Andrew Tridgell, a
rapporté que les versions précédentes de rsync contiennent
un bogue portant atteinte à la sécurité. Si vous avez transféré
un répertoire vide dans un répertoire inexistant sur une machine
distante, les permissions sur cette machine ne sont pas garanties
d'être correctes. Ce bogue peut seulement s'exprimer
dans de très rares cas. Même si vous ne pensez pas avoir réuni les conditions
nécessaires, vérifiez les droits de vos répertoires de base.
Le message d'Andrew Tridgell est disponible sur LWN - rsync (1999) et Stuttgart BUGTRAQ - 1999.
Voici quelques extraits des messages d'Andrew dans le BUGTRAQ :
... publiée la version 2.3.1 de rsync pour corriger [la faille de sécurité].
Un utilisateur ne peut pas exploiter cette faille de sécurité délibérément pour obtenir les privilèges (i.e. ce n'est pas une faille de sécurité « active ») mais un administrateur système pourrait ... par inadvertance compromettre la sécurité de leur système.
La solution consiste à utiliser un chmod dans votre répertoire personnel (home directory) pour remettre les bonnes permissions et à mettre à jour rsync pour la version 2.3.1. La faille se trouve du côté réception de rsync, on peut donc utiliser sync, de façon relativement sûre, pour continuer à utiliser les anciens serveurs rsync anonymes en attentant que vous mettiez à jour votre client.
Cette faille est présente dans l'ensemble des versions de rsync. Je m'excuse pour les problèmes que cela occasionne.
- Corrigé dans :
-
- Source :
- http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.diff.gz
- http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.dsc
- http://security.debian.org/dists/slink/updates/source/rsync_2.3.1.orig.tar.gz
- alpha:
- http://security.debian.org/dists/slink/updates/binary-alpha/rsync_2.3.1-0.slink.1_alpha.deb
- i386:
- http://security.debian.org/dists/slink/updates/binary-i386/rsync_2.3.1-0.slink.1_i386.deb
- m68k:
- http://security.debian.org/dists/slink/updates/binary-m68k/rsync_2.3.1-0.slink.1_m68k.deb
- sparc:
- http://security.debian.org/dists/slink/updates/binary-sparc/rsync_2.3.1-0.slink.1_sparc.deb