Рекомендация Debian по безопасности
rsync -- редкая проблема с повреждением прав доступа к файлам
- Дата сообщения:
- 18.08.1999
- Затронутые пакеты:
- rsync
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-1999-0473.
- Более подробная информация:
- Автор rsync, Эндрю Трайджел, сообщил, что
предыдущие версии rsync содержат ошибку, связанную с безопасностью. Если вы
передаёте пустой каталог в несуществующий каталог на удалённом узле,
то права доступа на удалённом узле могут быть испорчены. Эта ошибка возникает лишь
в очень редких случаях. Вряд ли она у вас возникала, но лучше всего
проверить права доступа к домашним каталогам.
Сообщение Эндрю Трайджела доступно по адресам LWN - rsync (1999) и Stuttgart BUGTRAQ - 1999.
Ниже приводятся некоторые выдержки из сообщения Эндрю с BUGTRAQ.
... выпущен rsync 2.3.1 с исправлением [проблемы безопасности].
Пользователь не может преднамеренно использовать данную проблему для получения прав (то есть, это не "активная" проблема безопасности), но системный администратор может ... непреднамеренно компрометировать безопасность системы.
Исправить это можно путём изменения прав доступа к домашнему каталогу, восстановив правильные права доступа, и обновления до rsync 2.3.1. Ошибка содержится в rsync на стороне получателя, поэтому вы можете продолжить использование старых анонимных серверов rsync в том случае, если вы обновите клиентскую программу.
Данная ошибка присутствует во всех версиях rsync. Извиняюсь за неудобство.
- Исправлено в:
-
- Исходный код:
- http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.diff.gz
- http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.dsc
- http://security.debian.org/dists/slink/updates/source/rsync_2.3.1.orig.tar.gz
- alpha:
- http://security.debian.org/dists/slink/updates/binary-alpha/rsync_2.3.1-0.slink.1_alpha.deb
- i386:
- http://security.debian.org/dists/slink/updates/binary-i386/rsync_2.3.1-0.slink.1_i386.deb
- m68k:
- http://security.debian.org/dists/slink/updates/binary-m68k/rsync_2.3.1-0.slink.1_m68k.deb
- sparc:
- http://security.debian.org/dists/slink/updates/binary-sparc/rsync_2.3.1-0.slink.1_sparc.deb