Säkerhetsbulletin från Debian
rsync -- Sällsynt problem med förstörda filrättigheter
- Rapporterat den:
- 1999-08-18
- Berörda paket:
- rsync
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-1999-0473.
- Ytterligare information:
- Rsyncs författare, Andrew Tridgell, har rapporterat att
tidigare versioner av rsync innehöll ett säkerhetsrelaterat fel.
Om du överförde en tom katalog till en icke-existerande katalog på
fjärrdatorn var det möjligt för filrättigheterna på fjärrvärden att
förstöras.
Det verkar som felet bara uppstår i sällsynta fall, och det är inte troligt
att du har råkat ut för det, men du bör kontrollera rättigheterna på dina
hemkataloger.
Andrew Tridgell:s brev är tillgängligt hos LWN och Stuttgarts Bugtraq-arkiv.
Här är några utdrag ur Andrews brev till Bugtraq:
... släppte rsync 2.3.1 för att rätta [säkerhetshålet].
En användare kan utnyttja detta hål med avsikt för att förhöja privilegier (dvs. detta är inte ett ”aktivt” säkerhetshål) men en systemadministratör kan ... oavsiktligen kompromettera sitt systems säkerhet.
Rättelsen är att återställa behörigheten på din hemkatalog till rätt värde och uppgradera till rsync 2.3.1. Felet är på mottagarsidan av rsync, så det är rätt säkert att fortsätta använda äldre anonyma rsync-servrar så länge du uppgraderar din klient.
Detta fel har funnits i samtliga versioner av rsync. Jag ber om ursäkt för eventuella olägenheter.
- Rättat i:
-
- Källkod:
- http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.diff.gz
- http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.dsc
- http://security.debian.org/dists/slink/updates/source/rsync_2.3.1.orig.tar.gz
- alpha:
- http://security.debian.org/dists/slink/updates/binary-alpha/rsync_2.3.1-0.slink.1_alpha.deb
- i386:
- http://security.debian.org/dists/slink/updates/binary-i386/rsync_2.3.1-0.slink.1_i386.deb
- m68k:
- http://security.debian.org/dists/slink/updates/binary-m68k/rsync_2.3.1-0.slink.1_m68k.deb
- sparc:
- http://security.debian.org/dists/slink/updates/binary-sparc/rsync_2.3.1-0.slink.1_sparc.deb