Debian-Sicherheitsankündigung

DSA-106-2 rsync -- Entfernter Angriff

Datum des Berichts:

26. Jan 2002

Betroffene Pakete:

rsync

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2002-0048.

Weitere Informationen:

Sebastian Krahmer hat verschiedene Orte in rsync (einem populären Werkzeug, um Dateien zwischen Rechnern abzugleichen) gefunden, an denen vorzeichenbehaftete Nummern und solche ohne gemischt wurden, was in unsicherem Code resultierte (siehe securityfocus.com). Das könnte von entfernten Benutzern ausgenutzt werden, um 0-Bytes in den Speicher von rsync zu schreiben, um rsync zum Ausführen von willkürlichem Code zu bringen.

Das wurde in Version 2.3.2-1.3 behoben und wir empfehlen Ihnen, Ihr rsync-Paket unverzüglich zu aktualisieren.

Unglücklicherweise hat der Patch, der das Problem beheben sollte, rsync zerstört. Dies wurde in Version 2.3.2-1.5 behoben und wir empfehlen Ihnen, so unverzüglich auf diese Version zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.diff.gz; http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.dsc; http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/rsync_2.3.2-1.5_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/rsync_2.3.2-1.5_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/rsync_2.3.2-1.5_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/rsync_2.3.2-1.5_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/rsync_2.3.2-1.5_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/rsync_2.3.2-1.5_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung. (DSA-106-2)