首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第48期->最新漏洞
日期:2004-06-03
发布日期:2004-05-03
更新日期:2004-05-09
受影响系统:
rsync rsync 2.6
rsync rsync 2.5.7
rsync rsync 2.5.6
rsync rsync 2.5.4
rsync rsync 2.5.3
rsync rsync 2.5.2
rsync rsync 2.5.1_1
rsync rsync 2.5.1
rsync rsync 2.5.0-2
rsync rsync 2.5.0-1
rsync rsync 2.4.6
rsync rsync 2.4.4
rsync rsync 2.4.3
rsync rsync 2.4.1
rsync rsync 2.3.2-1.3
rsync rsync 2.3.2-1.2
rsync rsync 2.3.2
rsync rsync 2.3.1
rsync rsync 2.5.5
- Conectiva Linux 9.0
- Debian Linux 3.0
- Mandrake Linux Corporate Server 2.1
- Mandrake Linux 9.0
- Slackware Linux 8.1
- SuSE Linux 8.1
不受影响系统:
rsync rsync 2.6.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 10247
CVE(CAN) ID: CAN-2004-0426
rsync是一款用于服务器同步的程序。
rsync server在使用读/写模块时不使用'chroot'选项时不充分过滤路径信息,远程攻击者可以利用这个漏洞使rsync写文件到配置模块路径限制之外的位置上。
目前没有详细漏洞细节提供。
<*来源:rsync
链接:http://www.debian.org/security/2002/dsa-499
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 使用'chroot'模式:
"use chroot = yes"
厂商补丁:
Debian
------
Debian已经为此发布了一个安全公告(DSA-499-1)以及相应补丁:
DSA-499-1:New rsync packages fix directory traversal bug
链接:http://www.debian.org/security/2002/dsa-499
补丁下载:
Source archives:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4.dsc
Size/MD5 checksum: 545 0fed3b4dd2f9af7290025be19e1c857c
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4.diff.gz
Size/MD5 checksum: 92628 8a54fa60d3d4a050bf4cfdc95b8c5d22
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5.orig.tar.gz
Size/MD5 checksum: 415156 39d76c62684750842d3884a77c2e5466
Alpha architecture:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4_alpha.deb
Size/MD5 checksum: 227628 5668aa1a623d5c0d53ccf37c82b71d1a
ARM architecture:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4_arm.deb
Size/MD5 checksum: 206512 5204b76ce970ccd8cf0e8a1f567f96f3
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4_i386.deb
Size/MD5 checksum: 194786 5a5c172e1700f94050cd9b11482861d8
Intel IA-64 architecture:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4_ia64.deb
Size/MD5 checksum: 255628 3b60b6bc0e1da13e2c4493cd78a491e1
HP Precision architecture:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4_hppa.deb
Size/MD5 checksum: 214348 9da904db73db2bcefd2ae25007b98aae
Motorola 680x0 architecture:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4_m68k.deb
Size/MD5 checksum: 189922 5f0411188ec094bac68137aa2b8e417a
Big endian MIPS architecture:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4_mips.deb
Size/MD5 checksum: 216412 3368becc135ffc352c9719dc46c61450
Little endian MIPS architecture:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4_mipsel.deb
Size/MD5 checksum: 216684 4a8fb2f0cc43be8a7a2344f3532bc4bf
PowerPC architecture:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4_powerpc.deb
Size/MD5 checksum: 205786 231616adb4aea21364c882a646f4f281
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4_s390.deb
Size/MD5 checksum: 205022 9f60cc3ca300ffd88e984759a900bb08
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/r/rsync/rsync_2.5.5-0.4_sparc.deb
Size/MD5 checksum: 205462 cad9cffdcab71bb2b5d5390d4fc2677e
补丁安装方法:
1. 手工安装补丁包:
首先,使用下面的命令来下载补丁软件:
# wget url (url是补丁下载链接地址)
然后,使用下面的命令来安装补丁:
# dpkg -i file.deb (file是相应的补丁名)
2. 使用apt-get自动安装补丁包:
首先,使用下面的命令更新内部数据库:
# apt-get update
然后,使用下面的命令安装更新软件包:
# apt-get upgrade
rsync
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
rsync Upgrade rsync-2.6.1.tar.gz
http://rsync.samba.org/ftp/rsync/rsync-2.6.1.tar.gz
版权所有,未经许可,不得转载