Bulletin d'alerte Debian

DSA-106-2 rsync -- Exploitation à distance

Date du rapport :

26 janvier 2002

Paquets concernés :

rsync

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2002-0048.

Plus de précisions :

Sebastian Krahmer a trouvé divers endroits dans rsync (un outil populaire pour synchroniser des fichiers entre des machines) où des nombres signés et non signés étaient mélangés, ce qui aboutissait à un code non sécurisé (regardez securityfocus.com). Il pouvait être berné par les utilisateurs distants pour écrire 0 octet dans la mémoire de rsync et amenait rsync à exécuter un code arbitraire par la ruse.

Ceci a été corrigé dans la version 2.3.2-1.3 et nous vous recommandons de mettre à jour votre paquet rsync immédiatement.

Malheureusement la rustine utilisée pour corriger ce problème détraque rsync. Ceci a été corrigé dans la version 2.3.2-1.5 et nous vous recommandons la mise à jour vers cette version immédiatement.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.diff.gz; http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.dsc; http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/rsync_2.3.2-1.5_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/rsync_2.3.2-1.5_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/rsync_2.3.2-1.5_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/rsync_2.3.2-1.5_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/rsync_2.3.2-1.5_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/rsync_2.3.2-1.5_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité. (DSA-106-2)