Vulnerabilidad en Acceso a ficheros con acceso restringido en rsync (CVE-2007-6199)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-16
Error de configuración
Fecha de publicación:
01/12/2007
Última modificación:
09/04/2025
Descripción
rsync, en versiones anteriores a la 3.0.0pre6. Cuando se ejecuta un demonio rsync en modo lectura-escritura que no use chroot, se permite así que atacantes remotos accedan a ficheros de acceso restringido, usando vectores desconocidos que provocan que rsync cree un enlace simbólico que apunta fuera de la jerarquía de ficheros del módulo.
Impacto
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:slackware:slackware_linux:8.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:slackware:slackware_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:slackware:slackware_linux:9.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:slackware:slackware_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:slackware:slackware_linux:10.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:slackware:slackware_linux:10.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:slackware:slackware_linux:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:slackware:slackware_linux:12.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsync:rsync:2.3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsync:rsync:2.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsync:rsync:2.3.2_1.2alpha:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsync:rsync:2.3.2_1.2arm:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsync:rsync:2.3.2_1.2intel:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsync:rsync:2.3.2_1.2m68k:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsync:rsync:2.3.2_1.2ppc:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.apple.com/archives/security-announce//2008/Jul/msg00003.html
- http://lists.opensuse.org/opensuse-security-announce/2008-01/msg00002.html
- http://rsync.samba.org/security.html#s3_0_0
- http://secunia.com/advisories/27853
- http://secunia.com/advisories/27863
- http://secunia.com/advisories/28412
- http://secunia.com/advisories/28457
- http://secunia.com/advisories/31326
- http://secunia.com/advisories/61005
- http://securitytracker.com/id?1019012=
- http://support.f5.com/kb/en-us/solutions/public/15000/500/sol15549.html
- http://wiki.rpath.com/wiki/Advisories:rPSA-2007-0257
- http://www.mandriva.com/en/security/advisories?name=MDVSA-2008%3A011
- http://www.securityfocus.com/archive/1/487991/100/0/threaded
- http://www.securityfocus.com/bid/26638
- http://www.vupen.com/english/advisories/2007/4057
- http://www.vupen.com/english/advisories/2008/2268
- http://lists.apple.com/archives/security-announce//2008/Jul/msg00003.html
- http://lists.opensuse.org/opensuse-security-announce/2008-01/msg00002.html
- http://rsync.samba.org/security.html#s3_0_0
- http://secunia.com/advisories/27853
- http://secunia.com/advisories/27863
- http://secunia.com/advisories/28412
- http://secunia.com/advisories/28457
- http://secunia.com/advisories/31326
- http://secunia.com/advisories/61005
- http://securitytracker.com/id?1019012=
- http://support.f5.com/kb/en-us/solutions/public/15000/500/sol15549.html
- http://wiki.rpath.com/wiki/Advisories:rPSA-2007-0257
- http://www.mandriva.com/en/security/advisories?name=MDVSA-2008%3A011
- http://www.securityfocus.com/archive/1/487991/100/0/threaded
- http://www.securityfocus.com/bid/26638
- http://www.vupen.com/english/advisories/2007/4057
- http://www.vupen.com/english/advisories/2008/2268