Debian セキュリティ勧告
DSA-106-2 rsync -- リモートからの攻撃
- 報告日時:
- 2002-01-26
- 影響を受けるパッケージ:
- rsync
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2002-0048.
- 詳細:
-
Sebastian Krahmer さんにより、rsync
(複数のマシン間でファイル同期を行うよく使われるツール)
の幾つかの箇所で、符号付き整数と負号なし整数が混ざって使われており、
結果として安全でないコーディングになっていることが判明しました
(securityfocus.com
を御覧ください)。
この結果、リモートからのユーザから 0 バイトの書き込みを rsync
のメモリに送り込むことにより rsync
で任意のコマンドを実行させる悪用が可能です。
これはバージョン 2.3.2-1.3 で修正されており、直ぐに rsync パッケージをアップグレードすることを推奨します。
残念ながら、この問題を修正するために当てたパッチで rsync が動かなく なっています。この問題はバージョン 2.3.2-1.5 で修正されており、すぐに このバージョンにアップグレードすることを推奨します。
- 修正:
-
Debian GNU/Linux 2.2 (potato)
- ソース:
- http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.dsc
- http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/rsync_2.3.2-1.5_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/rsync_2.3.2-1.5_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/rsync_2.3.2-1.5_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/rsync_2.3.2-1.5_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/rsync_2.3.2-1.5_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/rsync_2.3.2-1.5_sparc.deb