Rsync-gruppen har tagit emot bevis för att en sårbarhet i alla versioner av rsync tidigare än 2.5.7, ett program för snabb kopiering av filer mellan datorer, nyligen användes i samband med en sårbarhet i Linuxkärnan för att kompromettera säkerheten på en allmänt tillgänglig rsyncserver.
Trots att denna heapspillsårbarhet inte kan användas i sig självt för att uppnå rootbehörighet på en rsyncserver kan den användas tillsammans med den nyligen tillkännagivna do_brk()-sårbarheten i Linuxkärnan, vilket kan ge en total rootkompromettering.
Observera att denna sårbarhet bara gäller när rsync används som
”rsyncserver”.
För att se om du kör en rsyncserver bör du använda kommandot
”netstat -a -n” för att se om du lyssnar på TCP-port 873.
Om du inte lyssnar på TCP-port 873 kör du inte någon rsync-server.
För den stabila utgåvan (Woody) har detta problem rättats i version 2.5.5-0.2.
För den instabila utgåvan (Sid) har detta problem rättats i version 2.5.6-1.1.
Eftersom Debians infrastruktur ännu inte är fullt tillgänglig efter intrånget nyligen kan inte paket för den instabila utgåvan läggas in i arkivet på ett tag. De finns därför i Joeys hemkatalog på maskinen security.
Vi rekommenderar att ni uppgraderar ert rsync-paket omedelbart om ni tillhandahåller rsync-tjänster utåt. Om ni kör uttestningsutgåvan och tillhandahåller rsynctjänster bör ni använda paketen för Woody.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.