Debian セキュリティ勧告

DSA-106-2 rsync -- リモートからの攻撃

報告日時:

2002-01-26

影響を受けるパッケージ:

rsync

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2002-0048.

詳細:

Sebastian Krahmer さんにより、rsync (複数のマシン間でファイル同期を行うよく使われるツール) の幾つかの箇所で、符号付き整数と負号なし整数が混ざって使われており、結果として安全でないコーディングになっていることが判明しました (securityfocus.com を御覧ください)。この結果、リモートからのユーザから 0 バイトの書き込みを rsync のメモリに送り込むことにより rsync で任意のコマンドを実行させる悪用が可能です。

これはバージョン 2.3.2-1.3 で修正されており、直ぐに rsync パッケージをアップグレードすることを推奨します。

残念ながら、この問題を修正するために当てたパッチで rsync が動かなくなっています。この問題はバージョン 2.3.2-1.5 で修正されており、すぐにこのバージョンにアップグレードすることを推奨します。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.diff.gz; http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2-1.5.dsc; http://security.debian.org/dists/stable/updates/main/source/rsync_2.3.2.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/rsync_2.3.2-1.5_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/rsync_2.3.2-1.5_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/rsync_2.3.2-1.5_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/rsync_2.3.2-1.5_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/rsync_2.3.2-1.5_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/rsync_2.3.2-1.5_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。 (DSA-106-2)