rsync 2.5.6 脆弱性
rsync 2.5.6 以前にヒープオーバーフロー脆弱性がありリモートから任意のコード実行が可能。Linuxカーネルのbrk脆弱性と組み合わせでリモートからroot権限で使用可能な模様。Gentooのサーバはこれらしい。
- rsync 2.5.6 security advisory(rsync.samba.org)
- rsync Unspecified Heap Overflow Vulnerability(secunia.com)
- GLSA: rsync.gentoo.org rotation server compromised(gentoo.org)
- セキュリティ: rsync 2.5.6 にバッファオーバーフローの脆弱性(slashdot.jp)
P.S.なんかパッチでは解消されてないのでは?という興味深い話がslashdotで進行中。要注目。