CERTA-2004-AVI-153

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité a été découverte dans Rsync qui permet à un utilisateur mal intentionné d'écrire des fichiers sur le système vulnérable.

Description

Rsync est un utilitaire permettant de synchroniser des fichiers entre plusieurs machines.
Une vulnérabilité est présente dans Rsync. Lorsque le démon Rsync fonctionne en mode lecture/écriture et dans un environnement non restreint, un utilisateur mal intentionné, préalablement authentifié, peut écrire en dehors du chemin spécifié par la configuration.

Solution

Mettre à jour Rsync avec la version 2.6.1 (cf. Documentation).

Toutes les versions de Rsync antérieures à la version 2.6.1.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eToutes les versions de Rsync  ant\u00e9rieures \u00e0 la version 2.6.1.\u003c/p\u003e",
  "content": "## Description\n\nRsync est un utilitaire permettant de synchroniser des fichiers entre\nplusieurs machines.  \nUne vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans Rsync. Lorsque le d\u00e9mon Rsync\nfonctionne en mode lecture/\u00e9criture et dans un environnement non\nrestreint, un utilisateur mal intentionn\u00e9, pr\u00e9alablement authentifi\u00e9,\npeut \u00e9crire en dehors du chemin sp\u00e9cifi\u00e9 par la configuration.\n\n## Solution\n\nMettre \u00e0 jour Rsync avec la version 2.6.1 (cf. Documentation).\n",
  "cves": [],
  "links": [
    {
      "title": "Mise \u00e0 jour de s\u00e9curit\u00e9 pour le paquetage NetBSD rsync :",
      "url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200407-10 du 12 juillet    2004 :",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200407-10.xml"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 SuSE-SA:2004:014 de SuSE du 26 mai    2004 :",
      "url": "http://www.suse.com/de/security/2004_14_kdelibs.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 rsync :",
      "url": "http://samba.anu.edu.au/rsync/#security_apr04"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2004-192 du 19 mai 2004 :",
      "url": "http://rhn.redhat.com/errata/RHSA-2004-192.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Apple du 07 septembre 2004 :",
      "url": "http://docs.info.apple.com/article.html?artnum=61798"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 FreeBSD du 02 mai 2004 :",
      "url": "http://www.vuxml.org/freebsd/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:042 du 10 mai 2004    :",
      "url": "http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:042"
    }
  ],
  "reference": "CERTA-2004-AVI-153",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-05-03T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Mandrake.",
      "revision_date": "2004-05-11T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 FreeBSD et NetBSD.",
      "revision_date": "2004-05-12T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 RedHat.",
      "revision_date": "2004-05-21T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 SuSE.",
      "revision_date": "2004-05-27T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Gentoo.",
      "revision_date": "2004-07-13T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Apple.",
      "revision_date": "2004-09-08T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Rsync qui permet \u00e0 un\nutilisateur mal intentionn\u00e9 d\u0027\u00e9crire des fichiers sur le syst\u00e8me\nvuln\u00e9rable.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de Rsync",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-499",
      "url": "http://www.debian.org/security/2004/dsa-499"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.