rsync无限循环拒绝服务漏洞

rsync无限循环拒绝服务漏洞

发布日期：2014-04-22
更新日期：2014-04-26

受影响系统：
rsync rsync 3.1.0
描述：
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2014-2855
 
rsync是一个快速增量文件传输工具，用于在同一主机备份内部的备份。
 
rsync 3.1.0及其他版本在"check_secret()"函数(authenticate.c)内存在逻辑错误，这可使攻击者通过不在secrets文件内的用户名称触发无限循环。
 
<*来源：Ryan Finnie
 
  链接：http://secunia.com/advisories/57948
 *>

建议：
--------------------------------------------------------------------------------
厂商补丁：
 
rsync
 -----
 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
 
https://bugs.launchpad.net/ubuntu/+source/rsync/+bug/1307230
 https://git.samba.org/?p=rsync.git;a=commit;h=0dedfbce2c1b851684ba658861fe9d620636c56a
 https://bugzilla.samba.org/show_bug.cgi?id=10551

推荐阅读：

利用inotifywait监控主机文件和目录

利用inotify+rsync实现Linux文件批量更新

inotify-tools+rsync实时同步文件安装和配置

rsync同步完整配置

Rsync 的详细介绍：请点这里
Rsync 的下载地址：请点这里