Säkerhetsbulletin från Debian

rsync -- Sällsynt problem med förstörda filrättigheter

Rapporterat den:
1999-08-18
Berörda paket:
rsync
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-1999-0473.
Ytterligare information:
Rsyncs författare, Andrew Tridgell, har rapporterat att tidigare versioner av rsync innehöll ett säkerhetsrelaterat fel. Om du överförde en tom katalog till en icke-existerande katalog på fjärrdatorn var det möjligt för filrättigheterna på fjärrvärden att förstöras. Det verkar som felet bara uppstår i sällsynta fall, och det är inte troligt att du har råkat ut för det, men du bör kontrollera rättigheterna på dina hemkataloger.

Andrew Tridgell:s brev är tillgängligt hos LWN och Stuttgarts Bugtraq-arkiv.

Här är några utdrag ur Andrews brev till Bugtraq:

... släppte rsync 2.3.1 för att rätta [säkerhetshålet].

En användare kan utnyttja detta hål med avsikt för att förhöja privilegier (dvs. detta är inte ett ”aktivt” säkerhetshål) men en systemadministratör kan ... oavsiktligen kompromettera sitt systems säkerhet.

Rättelsen är att återställa behörigheten på din hemkatalog till rätt värde och uppgradera till rsync 2.3.1. Felet är på mottagarsidan av rsync, så det är rätt säkert att fortsätta använda äldre anonyma rsync-servrar så länge du uppgraderar din klient.

Detta fel har funnits i samtliga versioner av rsync. Jag ber om ursäkt för eventuella olägenheter.

Rättat i:
Källkod:
http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.diff.gz
http://security.debian.org/dists/slink/updates/source/rsync_2.3.1-0.slink.1.dsc
http://security.debian.org/dists/slink/updates/source/rsync_2.3.1.orig.tar.gz
alpha:
http://security.debian.org/dists/slink/updates/binary-alpha/rsync_2.3.1-0.slink.1_alpha.deb
i386:
http://security.debian.org/dists/slink/updates/binary-i386/rsync_2.3.1-0.slink.1_i386.deb
m68k:
http://security.debian.org/dists/slink/updates/binary-m68k/rsync_2.3.1-0.slink.1_m68k.deb
sparc:
http://security.debian.org/dists/slink/updates/binary-sparc/rsync_2.3.1-0.slink.1_sparc.deb