漏洞信息详情
rsync 拒绝服务漏洞
- CNNVD编号:CNNVD-201404-482
- 危害等级: 中危
- CVE编号: CVE-2014-2855
- 漏洞类型: 输入验证
- 发布时间: 2014-04-25
- 威胁类型: 远程
- 更新时间: 2014-04-25
- 厂 商: samba
- 漏洞来源:
漏洞简介
rsync是澳大利亚软件开发者安德鲁-垂鸠(Andrew Tridgell)和保罗-麦可拉斯(Paul Mackerras)共同研发的一套用于类Unix系统中的数据镜像备份应用程序,它能够同步更新两处计算机的文件与目录,并利用差分编码减少数据传输。
rsync 3.1.0及之前版本的authenticate.c文件中的‘check_secret’函数存在安全漏洞。远程攻击者可借助保密文件中不存在的用户名利用该漏洞造成拒绝服务(无限循环和CPU消耗)。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://rsync.samba.org/
参考网址
来源:FEDORA
名称:FEDORA-2014-5315
链接:http://lists.fedoraproject.org/pipermail/package-announce/2014-April/131910.HTML
来源:bugzilla.samba.org
链接:https://bugzilla.samba.org/show_bug.cgi?id=10551
来源:bugs.launchpad.net
链接:https://bugs.launchpad.net/ubuntu/+source/rsync/+bug/1307230
来源:MLIST
名称:[oss-security] 20140415 Re: CVE Request: rsync denial of service
链接:http://www.openwall.com/lists/oss-security/2014/04/15/1
来源:MLIST
名称:[oss-security] 20140414 CVE Request: rsync denial of service
链接:http://www.openwall.com/lists/oss-security/2014/04/14/5
来源:SECUNIA
名称:57948
链接:http://secunia.com/advisories/57948
来源:git.samba.org
链接:https://git.samba.org/?p=rsync.git;a=commit;h=0dedfbce2c1b851684ba658861fe9d620636c56a
来源:SECUNIA
名称:57948
链接:http://secunia.com/advisories/57948
受影响实体
- Samba Rsync:3.1.0
- Samba Rsync:3.0.9
- Samba Rsync:3.0.8
- Samba Rsync:3.0.7
- Samba Rsync:3.0.6
补丁
- c92746c6926f49e23fd38ce7b76c2e74d9c17df0
- 3381b8c77a747a7a47a273f6272a6db6def1ed02
评论