Risque
- Atteinte à l'intégrité des données
Systèmes affectés
Toutes les versions de Rsync antérieures à la version 2.6.1.
Résumé
Une vulnérabilité a été découverte dans Rsync qui permet à un utilisateur mal intentionné d'écrire des fichiers sur le système vulnérable.
Description
Rsync est un utilitaire permettant de synchroniser des fichiers entre
plusieurs machines.
Une vulnérabilité est présente dans Rsync. Lorsque le démon Rsync
fonctionne en mode lecture/écriture et dans un environnement non
restreint, un utilisateur mal intentionné, préalablement authentifié,
peut écrire en dehors du chemin spécifié par la configuration.
Solution
Mettre à jour Rsync avec la version 2.6.1 (cf. Documentation).
Documentation
- Bulletin de sécurité Debian DSA-499 http://www.debian.org/security/2004/dsa-499
- Avis de sécurité FreeBSD du 02 mai 2004 : http://www.vuxml.org/freebsd/
- Bulletin de sécurité Apple du 07 septembre 2004 : http://docs.info.apple.com/article.html?artnum=61798
- Bulletin de sécurité Gentoo GLSA 200407-10 du 12 juillet 2004 : http://www.gentoo.org/security/en/glsa/glsa-200407-10.xml
- Bulletin de sécurité Mandrake MDKSA-2004:042 du 10 mai 2004 : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:042
- Bulletin de sécurité RedHat RHSA-2004-192 du 19 mai 2004 : http://rhn.redhat.com/errata/RHSA-2004-192.html
- Bulletin de sécurité SuSE-SA:2004:014 de SuSE du 26 mai 2004 : http://www.suse.com/de/security/2004_14_kdelibs.html
- Bulletin de sécurité rsync : http://samba.anu.edu.au/rsync/#security_apr04
- Mise à jour de sécurité pour le paquetage NetBSD rsync : ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities
