<date>
2008,04,15

<title>
rsync にセキュリティホール

<target>
4.2/i386, 4.2/ppc

<url>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6199
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6200
http://rsync.samba.org/ftp/rsync/rsyncd.conf.html

<info>
rsync に脆弱性が発見されました。

<ul>
<li>書きこみ可能な rsyncd を use chroot = no で実行している場合に、
モジュール階層外部を指すようなシンボリックリンクを作成できてし
まう恐れがあります。default は chroot = yes です。
(CVE-2007-6199)</li>
<li>書きこみ可能な rsyncd で exclude / exclude from / filter オプシ
ョンを利用している場合、シンボリックリンクや特定のオプションを使って
これらのフィルタリングを回避できる恐れがあります。
(CVE-2007-6200)</li>
</ul>

<p>
CVE-2007-6199 の対策のために、rsync 3.0.0-pre6 では新しいオプショ
ン「munge symlinks」が新設されました。当 update はこの新設オプションを
2.6.4 に backport したものです。
</p>

<p>
また、CVE-2007-6200 に対しては、シンボリックリンクについては
CVE-2007-6199と同様に munge symlinks を用いて、 他については
refuse options を用いてオプションの使用を制限することにより
対策が可能です。
</p>

<p>
<a href="http://rsync.samba.org/ftp/rsync/rsyncd.conf.html">
共に、rsyncd のマニュアルを読み、適切にオプションを設定することを
推奨します。</a>
</p>


<directory>
Vine-4.2/updates/RPMS/i386
Vine-4.2/updates/RPMS/ppc

<update>
[ size ] [ SHA1 checksum ]                        [ file name ]
  644396 741c0448483a52090ab0511b08198e4448998bfd rsync-2.6.4-1.2vl4.src.rpm

  219681 412ed5ae47f1a3b4dc0c62be6f9ef9a5e935c3cf rsync-2.6.4-1.2vl4.i386.rpm

  235067 9d3075acbe962f07413e3d6ecd32d96c2b0cd0eb rsync-2.6.4-1.2vl4.ppc.rpm