Debian-Sicherheitsankündigung
DSA-404-1 rsync -- Heap-Überlauf
- Datum des Berichts:
- 04. Dez 2003
- Betroffene Pakete:
- rsync
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 9153.
In Mitres CVE-Verzeichnis: CVE-2003-0962. - Weitere Informationen:
-
Dem Rsync-Team wurden Beweise vorgelegt, dass eine Verwundbarkeit in allen Versionen von rsync (einem schnellen entfernten Dateiübertragungs-Programm) vor 2.5.7 vorhanden sind. Diese Verwundbarkeit wurde kürzlich in Verbindung mit einer Linux-Kernel-Verwundbarkeit verwendet, um die Sicherheit eines öffentlichen rsync-Server zu kompromittieren.
Während diese Heap-Überlauf-Verwundbarkeit nicht selbst verwendet werden kann, um root-Zugriff auf einem rsync-Server zu erlangen, könnte sie in Verbindung mit der kürzlich angekündigten do_brk()-Verwundbarkeit im Linux-Kernel verwendet werden, um eine vollständige entfernte Kompromittierung zu erstellen.
Bitte beachten Sie, dass diese Verwundbarkeit nur die Verwendung von rsync als »Rsync-Server« betrifft. Um zu sehen, ob Sie einen Rsync-Server laufen haben, sollten Sie den Befehl »netstat -a -n« verwenden, um zu sehen, ob Sie auf TCP-Port 873 lauschen. Falls sie nicht auf TCP-Port 873 lauschen, dann läuft bei Ihnen kein Rsync-Server.
Für die stable Distribution (Woody) wurde dieses Problem in Version 2.5.5-0.2 behoben.
Für die unstable Distribution (Sid) wurde dieses Problem in Version 2.5.6-1.1 behoben.
Da die Debian-Infrastruktur jedoch noch nicht voll funktionstüchtig ist nach dem kürzlichen Einbruch, werden die Pakete für die unstable-Distribution nicht so bald im Archiv auftauchen. Daher wurden sie in Joeys eigenes Verzeichnis auf dem Sicherheitsrechner gestellt.
Wir empfehlen Ihnen, Ihr rsync-Paket unverzüglich zu aktualisieren, falls Sie einen entfernten Sync-Dienst anbieten. Falls Sie testing verwenden und entfernte Sync-Dienste anbieten, verwenden Sie bitte die Pakete für Woody.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2.dsc
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2.diff.gz
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.