发布日期：2007-11-29
更新日期：2007-12-03

受影响系统：

rsync rsync 2.6.9

不受影响系统：

rsync rsync 3.0.0 pre6

描述：

---

BUGTRAQ  ID: 26638

rsync是一款对网站进行镜像备份的程序。

rsync在某种配置情况下以不安全的方式创建文件，本地攻击者可能利用此漏洞提升权限。

如果以"use chroot = no"选项运行可写的rsync守护程序的话，攻击者就可能通过符号链接诱骗rsync在模块之外创建文件。

<*来源：rsync
  
  链接：http://secunia.com/advisories/27863/
        http://rsync.samba.org/security.html
*>

建议：

---

临时解决方法：

* 配置打开use chroot，或配置守护程序拒绝--links选项。

厂商补丁：

rsync
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://rsync.samba.org/ftp/rsync/rsync-3.0.0pre6.tar.gz

浏览次数：2874
严重程度：0（网友投票）