Risque

  • Atteinte à la confidentialité des données

Systèmes affectés

rsync versions 2.6.2 et antérieures.

Résumé

Une vulnérabilité de rsync permet à un utilisateur mal intentionné d'accéder à n'importe quel fichier de la machine.

Description

rsync est un utilitaire utilisé pour la copie de fichiers.

Une vulnérabilité a été découverte dans rsync, et permet à un utilisateur mal intentionné d'accéder à des fichiers situés en dehors du répertoire de base.

Pour exploiter cette vulnérabilité, il faut que rsync soit lancé en modedémon et sans "chroot".

Contournement provisoire

  • Ne pas lancer rsync en modedémon ;
  • utiliser un "chroot".

Solution

La version 2.6.3pre1 corrige cette vulnérabilité. Se référer au bulletin de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation