RSync配置模块路径穿越漏洞

漏洞信息详情

RSync配置模块路径穿越漏洞

• CNNVD编号：CNNVD-200407-020
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-0426
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2004-05-03
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-22
  
• 厂        商：
  
  andrew_tridgell
• 漏洞来源：
  rsync

rsync是一款用于服务器同步的程序。
rsync server在使用读/写模块时不使用\’\’chroot\’\’选项时不充分过滤路径信息，远程攻击者可以利用这个漏洞使rsync写文件到配置模块路径限制之外的位置上。
目前没有详细漏洞细节提供。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 使用’chroot’模式：

“use chroot = yes”
厂商补丁：
Debian
——
http://www.debian.org/security/2004/dsa-499” target=”_blank”>
http://www.debian.org/security/2004/dsa-499
rsync
—–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

rsync Upgrade rsync-2.6.1.tar.gz

http://rsync.samba.org/ftp/rsync/rsync-2.6.1.tar.gz” target=”_blank”>
http://rsync.samba.org/ftp/rsync/rsync-2.6.1.tar.gz

来源: REDHAT
名称: RHSA-2004:192
链接:http://www.redhat.com/support/errata/RHSA-2004-192.html

来源: DEBIAN
名称: DSA-499
链接:http://www.debian.org/security/2004/dsa-499

来源: BUGTRAQ
名称: 20040521 [OpenPKG-SA-2004.025] OpenPKG Security Advisory (rsync)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108515912212018&w=2

来源: XF
名称: rsync-write-files(16014)
链接:http://xforce.iss.net/xforce/xfdb/16014

来源: TRUSTIX
名称: TSL-2004-0024
链接:http://www.trustix.net/errata/misc/2004/TSL-2004-0024-rsync.asc.txt

来源: SLACKWARE
名称: SSA:2004-124-01
链接:http://www.slackware.org/security/viewer.php?l=slackware-security&y=2004&m=slackware-security.403462

来源: BID
名称: 10247
链接:http://www.securityfocus.com/bid/10247

来源: GENTOO
名称: GLSA-200407-10
链接:http://www.gentoo.org/security/en/glsa/glsa-200407-10.xml

来源: CIAC
名称: O-212
链接:http://www.ciac.org/ciac/bulletins/o-212.shtml

来源: CIAC
名称: O-134
链接:http://www.ciac.org/ciac/bulletins/o-134.shtml

来源: SECUNIA
名称: 12054
链接:http://secunia.com/advisories/12054

来源: SECUNIA
名称: 11993
链接:http://secunia.com/advisories/11993

来源: SECUNIA
名称: 11688
链接:http://secunia.com/advisories/11688

来源: SECUNIA
名称: 11669
链接:http://secunia.com/advisories/11669

来源: SECUNIA
名称: 11583
链接:http://secunia.com/advisories/11583

来源: SECUNIA
名称: 11537
链接:http://secunia.com/advisories/11537

来源: SECUNIA
名称: 11523
链接:http://secunia.com/advisories/11523

来源: SECUNIA
名称: 11515
链接:http://secunia.com/advisories/11515

来源: SECUNIA
名称: 11514
链接:http://secunia.com/advisories/11514

来源: rsync.samba.org
链接:http://rsync.samba.org/

来源: OVAL
名称: oval:org.mitre.oval:def:9495
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:9495

来源: MANDRAKE
名称: MDKSA-2004:042
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2004:042

来源: US Government Resource: oval:org.mitre.oval:def:967
名称: oval:org.mitre.oval:def:967
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:967