rsync 拒绝服务漏洞

漏洞信息详情

rsync 拒绝服务漏洞

• CNNVD编号：CNNVD-201404-482
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2014-2855
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2014-04-25
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-04-25
  
• 厂        商：
  
  samba
• 漏洞来源：

rsync是澳大利亚软件开发者安德鲁-垂鸠（Andrew Tridgell）和保罗-麦可拉斯（Paul Mackerras）共同研发的一套用于类Unix系统中的数据镜像备份应用程序，它能够同步更新两处计算机的文件与目录，并利用差分编码减少数据传输。

rsync 3.1.0及之前版本的authenticate.c文件中的‘check_secret’函数存在安全漏洞。远程攻击者可借助保密文件中不存在的用户名利用该漏洞造成拒绝服务（无限循环和CPU消耗）。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://rsync.samba.org/

来源:FEDORA

名称:FEDORA-2014-5315

链接:http://lists.fedoraproject.org/pipermail/package-announce/2014-April/131910.html

来源:bugzilla.samba.org

链接:https://bugzilla.samba.org/show_bug.cgi?id=10551

来源:bugs.launchpad.net

链接:https://bugs.launchpad.net/ubuntu/+source/rsync/+bug/1307230

来源:MLIST

名称:[oss-security] 20140415 Re: CVE Request: rsync denial of service

链接:http://www.openwall.com/lists/oss-security/2014/04/15/1

来源:MLIST

名称:[oss-security] 20140414 CVE Request: rsync denial of service

链接:http://www.openwall.com/lists/oss-security/2014/04/14/5

来源:SECUNIA

名称:57948

链接:http://secunia.com/advisories/57948

来源:git.samba.org

链接:https://git.samba.org/?p=rsync.git;a=commit;h=0dedfbce2c1b851684ba658861fe9d620636c56a

来源:SECUNIA

名称:57948

链接:http://secunia.com/advisories/57948