Vulnérabilité dans rsync

Gestion du document

Référence	CERTA-2002-AVI-015
Titre	Vulnérabilité dans rsync
Date de la première version	28 janvier 2002
Date de la dernière version	28 janvier 2002
Source(s)	Buletin de sécurité DSA-106 de Debian
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de commandes arbitraires et déni de service.

Systèmes affectés

Versions de rsync antérieures à la version 2.3.2-1.3.

Résumé

Un utilisateur mal intentionné peut exécuter du code arbitraire à distance.

Description

rsync est un utilitaire qui permet de synchroniser des fichiers entre plusieurs machines.

Une vulnérabilité présente dans rsync permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance via l'utilisation de valeurs affectées à certaines variables du système.

Solution

Installer la version 2.3.2-1.3.

Des correctifs sont également disponibles sous forme de paquetages pour les distributions Linux (cf. section Documentation).

Documentation

Avis de sécurité DSA-106 de Debian :

http://www.debian.org/security/2002/dsa-106.html

Avis de sécurité SuSE-SA:2002:004 de SuSE :
```
http://www.suse.com/us/support/security
```

Avis de sécurité RHSA-2002:018 de RedHat :

http://www.redhat.com/support/errata/RHSA-2002-018.html

Avis de sécurité ESA-20020125-004 de EnGarde Secure Linux
```
http://www.engardelinux.org/advisories.html
```

Avis du CERT-FR

Objet: Vulnérabilité dans rsync