Vulnerability Bulletins |
Desbordamiento de heap en rsync 2.5.6 y anteriores permite ejecución de código arbitrario |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | UNIX |
| Affected software | rsync <= rsync 2.5.6 |
Description |
|
|
Recientemente se ha descubierto una vulnerabilidad de desbordamiento de heap en las versiones 2.5.6 y anteriores de rsync. Esta vulnerabilidad permite a un atacante la ejecución de código arbitrario en la máquina afectada con los privilegios del servidor rsync. Se ha lanzado la versión 2.5.7 de rsync, que corrige este fallo. |
|
Solution |
|
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software rsync 2.5.7 http://samba.org/ftp/rsync/rsync-2.5.7.tar.gz |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2003-0962 |
| BID | |
Other resources |
|
|
rsync project http://samba.org/rsync Debian Security Advisory DSA 404-1 http://lists.debian.org/debian-security-announce/debian-security-announce-2003/msg00213.html Slackware Security Advisory SSA:2003-337-01 http://www.slackware.com/security/viewer.php?l=slackware-security&y=2003&m=slackware-security.399741 Trustix Security Advisory 2003-0048 http://www.trustix.net/errata/misc/2003/TSL-2003-0048-rsync.asc.txt SUSE Security Announcement http://www.suse.de/de/security/2003_50_rsync.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-12-04 |