rsync-3.0.6-4.AXS3
エラータID: AXSA:2011-301:01
以下項目について対処しました。<br />
<br />
[Security Fix]<br />
- rsync には、書き込み可能な rsync デーモンが起動している場合に、symlink、partial-dir、backup-dir、dest オプションの扱いに不備があるため、exclude、exclude_from、filter の回避、および隠しファイルを読まれるまたは書き込まれる脆弱性が存在します。(CVE-2007-6200)<br />
<br />
[Bug Fix]<br />
- バージョン 3.0.6 にアップグレードしました。<br />
<br />
- ある状況で "unexpected tag 3" エラーが表示される問題を修正しました。<br />
<br />
- chroot した後に,rsync デーモンが多くのタイムゾーンを用いた関数を用いるため,ある C ライブラリが chroot したデーモンの内部から適切なタイムスタンプを生成することができない問題を修正しました。 <br />
<br />
- ルート以外のユーザで,"-A" ("--acls") オプションを指定し,"--numeric-ids" オプションを使用しなかった場合,受け取る側でそれぞれのユーザがメンバではないグループのグループエントリを含むアクセスコントロールリスト (ACL) があると,"acl_set_file()" 関数が "EINVAL" エラーを返す問題を修正しました。<br />
<br />
- 0 ブロック長のスパースファイルを作成し,"rsync --sparse" コマンドを実行すると適切にスパースファイルを切り詰めず,ファイルサイズが大きくなってしまう問題を修正しました。<br />
<br />
- ある状況でデーモンモードで rsync を用いると,rsync ジェネレータインスタンスが無限ループに陥ってしまう問題を修正しました。<br />
<br />
- "start_client()" 関数でメモリ開放されていない問題を修正しました。<br />
<br />
一部CVEの翻訳文はJVNからの引用になります。<br />
http://jvndb.jvn.jp/
パッケージをアップデートしてください。
Unspecified vulnerability in rsync before 3.0.0pre6, when running a writable rsync daemon, allows remote attackers to bypass exclude, exclude_from, and filter and read or write hidden files via (1) symlink, (2) partial-dir, (3) backup-dir, and unspecified (4) dest options.
N/A