対象 (Vine Linuxバージョン):4.2/i386, 4.2/ppc内容:
rsync に脆弱性が発見されました。修正ずみパッケージ/ファイル:
- 書きこみ可能な rsyncd を use chroot = no で実行している場合に、 モジュール階層外部を指すようなシンボリックリンクを作成できてし まう恐れがあります。default は chroot = yes です。 (CVE-2007-6199)
- 書きこみ可能な rsyncd で exclude / exclude from / filter オプシ ョンを利用している場合、シンボリックリンクや特定のオプションを使って これらのフィルタリングを回避できる恐れがあります。 (CVE-2007-6200)
CVE-2007-6199 の対策のために、rsync 3.0.0-pre6 では新しいオプショ ン「munge symlinks」が新設されました。当 update はこの新設オプションを 2.6.4 に backport したものです。
また、CVE-2007-6200 に対しては、シンボリックリンクについては CVE-2007-6199と同様に munge symlinks を用いて、 他については refuse options を用いてオプションの使用を制限することにより 対策が可能です。
入手先:[ size ] [ SHA1 checksum ] [ file name ] 644396 741c0448483a52090ab0511b08198e4448998bfd rsync-2.6.4-1.2vl4.src.rpm 219681 412ed5ae47f1a3b4dc0c62be6f9ef9a5e935c3cf rsync-2.6.4-1.2vl4.i386.rpm 235067 9d3075acbe962f07413e3d6ecd32d96c2b0cd0eb rsync-2.6.4-1.2vl4.ppc.rpm
各ミラーサイトの関連URL:Vine-4.2/updates/RPMS/i386 Vine-4.2/updates/RPMS/ppcより入手してください。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6199
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6200
http://rsync.samba.org/ftp/rsync/rsyncd.conf.html