微点交流论坛

标题: rsync两个安全问题 [打印本页]

作者: pioneer 时间: 2007-12-5 09:55 标题: rsync两个安全问题

来源

secunia.com

软件名

rsync 2.x

描述

这可恶意绕过特定的安全限制

1)rsync daemon在"use chroot"不可用时存在错误，可通过symlink攻击获得访问外部模块层的文件

2)"exclude", "exclude from", 和"filter"选项中存在错误，在文件名已知的情况下，可通过symlink攻击绕过特定的安全限制并访问隐藏文件

该漏洞在V 2.6.9中已经确认，之前的版本可能也受到影响

解决方案

应用厂商补丁
http://rsync.samba.org/ftp/rsync/munge-symlinks-2.6.9.diff

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn