Bulletin d'alerte Debian
DSA-404-1 rsync -- Dépassement de tampon dans le tas
- Date du rapport :
- 4 décembre 2003
- Paquets concernés :
- rsync
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 9153.
Dans le dictionnaire CVE du Mitre : CVE-2003-0962. - Plus de précisions :
-
Il a été porté à la connaissance de l'équipe rsync qu'une vulnérabilité de toutes les versions de rsync - programme de copie distante rapide - antérieures à la 2.5.7, a récemment été utilisée, combinée à une vulnérabilité du noyau Linux, afin de compromettre un serveur rsync public.
Bien que cette vulnérabilité basée sur un dépassement de tampon dans le tas n'ait pas pu être utilisée pour obtenir un accès root sur un serveur rsync, elle a pu être utilisée, combinée avec la vulnérabilité do_brk() récemment annoncée du noyau Linux pour obtenir une vulnérabilité complète exploitable à distance.
Notez que cette vulnérabilité n'affecte l'utilisation de rsync qu'en tant que "serveur rsync". Pour savoir si vous utilisez un serveur rsync, utilisez la commande « netstat -a -n » pour voir si vous écoutez sur le port TCP 873. Si vous n'écoutez pas sur le port TCP 873, vous n'utilisez pas de serveur rsync.
Pour la distribution stable (Woody), ce problème a été corrigé dans la version 2.5.5-0.2.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.5.6-1.1.
Cependant, étant donné que l'infrastructure Debian ne fonctionne pas encore complètement suite à la récente attaque, les paquets pour la distribution instable ne peuvent pas entrer dans l'archive encore pour un moment. C'est pourquoi ils ont été placés dans le répertoire personnel de Joey sur la machine dédiée à la sécurité.
Nous vous recommandons de tout de suite mettre à jour votre paquet rsync si vous fournissez des services rsync distants. Si vous utilisez testing et que vous fournissez des services rsync distants, utilisez les paquets pour Woody.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2.dsc
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2.diff.gz
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.2_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.