Säkerhetsbulletin från Debian
DSA-106-2 rsync -- fjärrattack
- Rapporterat den:
- 2002-01-26
- Berörda paket:
- rsync
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2002-0048.
- Ytterligare information:
-
Sebastian Krahmer upptäckte flera platser i
rsync
(ett populärt verktyg för att
synkronisera filer mellan maskiner) där värden med och utan tecken blandades,
vilket ledde till osäker kod
(se securityfocus.com).
Detta kunde utnyttjas av användare utifrån för att skriva null-tecken i rsyncs
minne och lura rsync att köra godtycklig kod.
Detta har rättats i version 2.3.2-1.3 och vi rekommenderar att ni uppgraderar era rsync-paket omedelbart.
Tyvärr fick patchen som rättade problemet rsync att sluta fungera. Detta har rättats i version 2.3.2-1.5 och vi rekommenderar att ni uppgraderar till den versionen omedelbart.
- Rättat i:
-
Debian GNU/Linux 2.2 (potato)
- Källkod:
- http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.dsc
- http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/rsync_2.3.2-1.5_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/rsync_2.3.2-1.5_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/rsync_2.3.2-1.5_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/rsync_2.3.2-1.5_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/rsync_2.3.2-1.5_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/rsync_2.3.2-1.5_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen. (DSA-106-2)