Boletines de Vulnerabilidades |
Desbordamiento de heap en rsync 2.5.6 y anteriores permite ejecución de código arbitrario |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | UNIX |
Software afectado | rsync <= rsync 2.5.6 |
Descripción |
|
Recientemente se ha descubierto una vulnerabilidad de desbordamiento de heap en las versiones 2.5.6 y anteriores de rsync. Esta vulnerabilidad permite a un atacante la ejecución de código arbitrario en la máquina afectada con los privilegios del servidor rsync. Se ha lanzado la versión 2.5.7 de rsync, que corrige este fallo. |
|
Solución |
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software rsync 2.5.7 http://samba.org/ftp/rsync/rsync-2.5.7.tar.gz |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2003-0962 |
BID | |
Recursos adicionales |
|
rsync project http://samba.org/rsync Debian Security Advisory DSA 404-1 http://lists.debian.org/debian-security-announce/debian-security-announce-2003/msg00213.html Slackware Security Advisory SSA:2003-337-01 http://www.slackware.com/security/viewer.php?l=slackware-security&y=2003&m=slackware-security.399741 Trustix Security Advisory 2003-0048 http://www.trustix.net/errata/misc/2003/TSL-2003-0048-rsync.asc.txt SUSE Security Announcement http://www.suse.de/de/security/2003_50_rsync.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-12-04 |