GLSA 200504-12: rsnapshot: Local privilege escalation

Опасность:	высокая
Заголовок:	rsnapshot: Local privilege escalation
Дата:	13.04.2005
Ошибки:	#88681
ID:	200504-12

Сводка

rsnapshot allows a local user to take ownership of local files, resulting in privilege escalation.

Назначение

rsnapshot is a filesystem snapshot utility based on rsync, allowing local and remote systems backups.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
app-backup/rsnapshot	< 1.2.1	>= 1.2.1	All supported architectures

Описание

The copy_symlink() subroutine in rsnapshot follows symlinks when changing file ownership, instead of changing the ownership of the symlink itself.

Воздействие

Under certain circumstances, local attackers can exploit this vulnerability to take ownership of arbitrary files, resulting in local privilege escalation.

Обход

The copy_symlink() subroutine is not called if the cmd_cp parameter has been enabled.

Решение

All rsnapshot users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose app-backup/rsnapshot

Ссылки

• rsnapshot Security Advisory 001
• CVE-2005-1064

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200504-12.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.