Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
Rsync version 2.6.7 et versions antérieures.
Description
Une vulnérabilité a été identifiée dans la fonction receive_xattr() de l'outil Rsync. Cette vulnérabilité peut être exploitée par un utilisateur malveillant afin d'exécuter du code arbitraire à distance ou provoquer un déni de service.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de mise à jour Rsync du 22 avril:
http://samba.anu.edu.au/ftp/rsync/rsync-2.6.8-NEWS
- Référence CVE CVE-2006-2083 :
https://www.cve.org/CVERecord?id=CVE-2006-2083