Debians sikkerhedsbulletin
DSA-404-1 rsync -- stakoverløb
- Rapporteret den:
- 4. dec 2003
- Berørte pakker:
- rsync
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 9153.
I Mitres CVE-ordbog: CVE-2003-0962. - Yderligere oplysninger:
-
rsync-folkene har modtaget beviser på at en sårbarhed i alle versioner af rsync, et hurtigt program til fjernkopiering af filer, før version 2.5.7, for nylig blev benyttet i forbindelse med en Linux-kernesårbarhed til at bryde en offentlig rsync-servers sikkerhed.
Selvom denne stakoverløbssårbarhed ikke alene kunne anvendes til at få root-adgang på en rsync-server, kunne den bruges i forbindelse med den nyligt annoncerede do_brk()-sårbarhed i Linux-kernen til at foretage et totalt fjernindbrud.
Bemærk venligst at denne sårbarhed kun påvirker anvendelsen af rsync som en "rsync-server". For at finde ud af om man kører en rsync-server, kan kommandoen "netstat -a -n" anvendes til at finde ud af, om der lyttes på TCP-port 873. Hvis der ikke lyttes på TCP-port 873, kører man ikke en rsync-server.
I den stabile distribution (woody) er dette problem rettet i version 2.5.5-0.2.
I den ustabile distribution (sid) er dette problem rettet i version 2.5.6-1.1.
Da Debians infrastruktur endnu ikke er helt funktionsdygtig efter det nylige indbrud, kan der ikke overføres pakker til den ustabile distribution i en periode. Derfor er pakkerne gjort tilgængelige fra Joeys hjemmemappe på sikkerhedsmaskinen.
Vi anbefaler at du omgående opgraderer din rsync-pakke hvis du stiller fjernsynkroniseringstjenester til rådighed. Hvis du kører distributionen testing og stiller fjernsynkroniseringstjenester til rådighed, så anvend pakke til woody.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2.dsc
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2.diff.gz
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.