Bulletin d'alerte Debian

rsync -- Problème rare concernant des permissions corrompues de fichier

Date du rapport :
18 août 1999
Paquets concernés :
rsync
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-1999-0473.
Plus de précisions :
L'auteur de rsync, Andrew Tridgell, a rapporté que les versions précédentes de rsync contiennent un bogue portant atteinte à la sécurité. Si vous avez transféré un répertoire vide dans un répertoire inexistant sur une machine distante, les permissions sur cette machine ne sont pas garanties d'être correctes. Ce bogue peut seulement s'exprimer dans de très rares cas. Même si vous ne pensez pas avoir réuni les conditions nécessaires, vérifiez les droits de vos répertoires de base.

Le message d'Andrew Tridgell est disponible sur LWN - rsync (1999) et Stuttgart BUGTRAQ - 1999.

Voici quelques extraits des messages d'Andrew dans le BUGTRAQ :

... publiée la version 2.3.1 de rsync pour corriger [la faille de sécurité].

Un utilisateur ne peut pas exploiter cette faille de sécurité délibérément pour obtenir les privilèges (i.e. ce n'est pas une faille de sécurité « active ») mais un administrateur système pourrait ... par inadvertance compromettre la sécurité de leur système.

La solution consiste à utiliser un chmod dans votre répertoire personnel (home directory) pour remettre les bonnes permissions et à mettre à jour rsync pour la version 2.3.1. La faille se trouve du côté réception de rsync, on peut donc utiliser sync, de façon relativement sûre, pour continuer à utiliser les anciens serveurs rsync anonymes en attentant que vous mettiez à jour votre client.

Cette faille est présente dans l'ensemble des versions de rsync. Je m'excuse pour les problèmes que cela occasionne.

Corrigé dans :
Source :
http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.diff.gz
http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.dsc
http://security.debian.org/dists/slink/updates/source/rsync_2.3.1.orig.tar.gz
alpha:
http://security.debian.org/dists/slink/updates/binary-alpha/rsync_2.3.1-0.slink.1_alpha.deb
i386:
http://security.debian.org/dists/slink/updates/binary-i386/rsync_2.3.1-0.slink.1_i386.deb
m68k:
http://security.debian.org/dists/slink/updates/binary-m68k/rsync_2.3.1-0.slink.1_m68k.deb
sparc:
http://security.debian.org/dists/slink/updates/binary-sparc/rsync_2.3.1-0.slink.1_sparc.deb