Risque
Atteinte à l'intégrité des données.
Systèmes affectés
Toutes les versions de Rsync antérieures à la version 2.6.1.
Résumé
Une vulnérabilité a été découverte dans Rsync qui permet à un utilisateur mal intentionné d'écrire des fichiers sur le système vulnérable.
Description
Rsync est un utilitaire permettant de synchroniser des fichiers entre plusieurs machines.
Une vulnérabilité est présente dans Rsync. Lorsque le démon Rsync fonctionne en mode lecture/écriture et dans un environnement non restreint, un utilisateur mal intentionné, préalablement authentifié, peut écrire en dehors du chemin spécifié par la configuration.
Solution
Mettre à jour Rsync avec la version 2.6.1 (cf. Documentation).
Documentation
- Bulletin de sécurité rsync :
http://samba.anu.edu.au/rsync/#security_apr04
- Bulletin de sécurité Debian DSA-499 du 01 mai 2004 :
http://www.debian.org/security/2004/dsa-499
- Bulletin de sécurité Mandrake MDKSA-2004:042 du 10 mai 2004 :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:042
- Bulletin de sécurité RedHat RHSA-2004-192 du 19 mai 2004 :
http://rhn.redhat.com/errata/RHSA-2004-192.html
- Bulletin de sécurité SuSE-SA:2004:014 de SuSE du 26 mai 2004 :
http://www.suse.com/de/security/2004_14_kdelibs.html
- Bulletin de sécurité Gentoo GLSA 200407-10 du 12 juillet 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200407-10.xml
- Avis de sécurité FreeBSD du 02 mai 2004 :
http://www.vuxml.org/freebsd/
- Mise à jour de sécurité pour le paquetage NetBSD rsync :
ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities
- Bulletin de sécurité Apple du 07 septembre 2004 :
http://docs.info.apple.com/article.html?artnum=61798
- Référence CVE CAN-2004-0426 :
https://www.cve.org/CVERecord?id=CAN-2004-0426