Dem Rsync-Team wurden Beweise vorgelegt, dass eine Verwundbarkeit in allen Versionen von rsync (einem schnellen entfernten Dateiübertragungs-Programm) vor 2.5.7 vorhanden sind. Diese Verwundbarkeit wurde kürzlich in Verbindung mit einer Linux-Kernel-Verwundbarkeit verwendet, um die Sicherheit eines öffentlichen rsync-Server zu kompromittieren.
Während diese Heap-Überlauf-Verwundbarkeit nicht selbst verwendet werden kann, um root-Zugriff auf einem rsync-Server zu erlangen, könnte sie in Verbindung mit der kürzlich angekündigten do_brk()-Verwundbarkeit im Linux-Kernel verwendet werden, um eine vollständige entfernte Kompromittierung zu erstellen.
Bitte beachten Sie, dass diese Verwundbarkeit nur die Verwendung von rsync als »Rsync-Server« betrifft. Um zu sehen, ob Sie einen Rsync-Server laufen haben, sollten Sie den Befehl »netstat -a -n« verwenden, um zu sehen, ob Sie auf TCP-Port 873 lauschen. Falls sie nicht auf TCP-Port 873 lauschen, dann läuft bei Ihnen kein Rsync-Server.
Für die stable Distribution (Woody) wurde dieses Problem in Version 2.5.5-0.2 behoben.
Für die unstable Distribution (Sid) wurde dieses Problem in Version 2.5.6-1.1 behoben.
Da die Debian-Infrastruktur jedoch noch nicht voll funktionstüchtig ist nach dem kürzlichen Einbruch, werden die Pakete für die unstable-Distribution nicht so bald im Archiv auftauchen. Daher wurden sie in Joeys eigenes Verzeichnis auf dem Sicherheitsrechner gestellt.
Wir empfehlen Ihnen, Ihr rsync-Paket unverzüglich zu aktualisieren, falls Sie einen entfernten Sync-Dienst anbieten. Falls Sie testing verwenden und entfernte Sync-Dienste anbieten, verwenden Sie bitte die Pakete für Woody.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.