Обход ограничений безопасности в rsync

Дата публикации:
30.11.2007
Дата изменения:
01.08.2008
Всего просмотров:
1607
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-6199
CVE-2007-6200
Вектор эксплуатации:
Удаленная
Воздействие:
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
rsync 2.x
Уязвимые версии: rsync 2.6.9, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности.

1. Уязвимость существует из-за ошибки в rsync демоне, когда отключена опция "use chroot". Злоумышленник может с помощью специально сформированной символической ссылки получить доступ к файлам, находящимся за пределами иерархии директорий приложения.

2. Уязвимость существует из-за ошибки при обработке опций "exclude", "exclude from" и "filter". Злоумышленник может с помощью специально сформированной символической ссылки обойти некоторые ограничения безопасности и получить доступ к скрытым файлам при условии, что известно имя файла.

URL производителя: samba.org/rsync/

Решение: Установите исправление с сайта производителя.
rsync.samba.org/ftp/rsync/munge-symlinks-2.6.9.diff

или введите имя

CAPTCHA