1. トピック:

rsyncパッケージが利用可能となりました：これはI/O機能において、リモートから利用可能な問題をフィックスするものです。これには、最近リリースされたrsync-2.5.2からのセキュリティパッチが含まれます。rsyncのユーザの皆様は、ぜひともフィックスパッケージにアップグレードなさるよう、強くお勧めいたします。

2002-01-28:　セキュリティ問題に関してのオリジナルbugfixパッチにはエラーがありました。このため、新rsyncは、特定の環境下で障害を起こすことがありました。新規構造では、この点がフィックスされました。

2. 問題の説明:

rsyncは、複数マシン間でのディレクトリ構造のミラーリングに使用される強力なツールです。rsyncには、リモートから利用可能なI/O機能において、数個の符号付/符号なしバグが含まれていることが解っています。リモートユーザは、rsyncサーバ/クライアントをクラッシュし、そのrsyncサーバ又はクライアントをランするユーザとして、コードの実行を行うことができます。

Common Vulnerabilities and Exposuresプロジェクト(cve.mitre.org)により、このイシューはCAN-2002-0048と命名されています。

rsyncのユーザは、パッケージをアップグレードしてください。さらに、rsyncサーバ管理者は、"use chroot"、 "uid"、"read only"オプションの使用をご検討ください。rsyncその他でのセキュリティ問題の影響を、大幅に低減することができます。

この脆弱性にパッチを提供してくださったSebastian Krahmer、及び迅速に応答してくださったAndrew Tridgell と Martin Poolの両氏に感謝します。

3. 修正されたバグ ID: (詳細は bugzilla を参照)

58874 - New rsync package corrupts files during transfer.
58878 - rsync segfaults

4. 関連するリリース/アーキテクチャ:

Red Hat Linux 6.2 - alpha, i386, sparc
Red Hat Linux 7.0 - alpha, i386,
Red Hat Linux 7.1 - alpha, i386, ia64
Red Hat Linux 7.2 - i386,ia64

5. 必要な RPM:

Red Hat Linux 6.2:

SRPMS:
ftp://updates.redhat.com/6.2/en/os/SRPMS/rsync-2.4.6-1.6.src.rpm

alpha:
ftp://updates.redhat.com/6.2/en/os/alpha/rsync-2.4.6-1.6.alpha.rpm

i386:
ftp://updates.redhat.com/6.2/en/os/i386/rsync-2.4.6-1.6.i386.rpm

sparc:
ftp://updates.redhat.com/6.2/en/os/sparc/rsync-2.4.6-1.6.sparc.rpm

Red Hat Linux 7.0:

SRPMS:
ftp://updates.redhat.com/7.0/en/os/SRPMS/rsync-2.4.6-10.src.rpm

alpha:
ftp://updates.redhat.com/7.0/en/os/alpha/rsync-2.4.6-10.alpha.rpm

i386:
ftp://updates.redhat.com/7.0/en/os/i386/rsync-2.4.6-10.i386.rpm

Red Hat Linux 7.1:

SRPMS:
ftp://updates.redhat.com/7.1/en/os/SRPMS/rsync-2.4.6-10.src.rpm

alpha:
ftp://updates.redhat.com/7.1/en/os/alpha/rsync-2.4.6-10.alpha.rpm

i386:
ftp://updates.redhat.com/7.1/en/os/i386/rsync-2.4.6-10.i386.rpm

ia64:
ftp://updates.redhat.com/7.1/en/os/ia64/rsync-2.4.6-10.ia64.rpm

Red Hat Linux 7.2:

SRPMS:
ftp://updates.redhat.com/7.2/en/os/SRPMS/rsync-2.4.6-10.src.rpm

i386:
ftp://updates.redhat.com/7.2/en/os/i386/rsync-2.4.6-10.i386.rpm

ia64:
ftp://updates.redhat.com/7.2/en/os/ia64/rsync-2.4.6-10.ia64.rpm

6. 解決方法:

RPM をダウンロードし、アップデートを行って下さい。
パッケージのアップデートコマンド:

rpm  -Fvh  [filename]    （このコマンドは、以前のバージョンがインストールされているときのみパッケージをアップグレードします。)

7. 認証:

MD5 sum                           Package Name
-------------------------------------------------------------------------

3b33976775af0d04ce639915e5c7cb63 6.2/en/os/SRPMS/rsync-2.4.6-1.6.src.rpm
418e264b0ba45fb9d16deff259e462c4 6.2/en/os/alpha/rsync-2.4.6-1.6.alpha.rpm
441409bda25e79567d4a587994b84d76 6.2/en/os/i386/rsync-2.4.6-1.6.i386.rpm
35abb7066b5e5b7092465c33dd24085d 6.2/en/os/sparc/rsync-2.4.6-1.6.sparc.rpm
ec10c0deb84328cc553449f4330f1cfd 7.0/en/os/SRPMS/rsync-2.4.6-10.src.rpm
b756d3ddf8b2d34d5fe7c6b1a4c1d043 7.0/en/os/alpha/rsync-2.4.6-10.alpha.rpm
2e37e09c1f55d4d825e748a4a2005698 7.0/en/os/i386/rsync-2.4.6-10.i386.rpm
ec10c0deb84328cc553449f4330f1cfd 7.1/en/os/SRPMS/rsync-2.4.6-10.src.rpm
b756d3ddf8b2d34d5fe7c6b1a4c1d043 7.1/en/os/alpha/rsync-2.4.6-10.alpha.rpm
2e37e09c1f55d4d825e748a4a2005698 7.1/en/os/i386/rsync-2.4.6-10.i386.rpm
7895ca8e94476fe4868c07dad2f079ae 7.1/en/os/ia64/rsync-2.4.6-10.ia64.rpm
ec10c0deb84328cc553449f4330f1cfd 7.2/en/os/SRPMS/rsync-2.4.6-10.src.rpm
2e37e09c1f55d4d825e748a4a2005698 7.2/en/os/i386/rsync-2.4.6-10.i386.rpm
7895ca8e94476fe4868c07dad2f079ae 7.2/en/os/ia64/rsync-2.4.6-10.ia64.rpm

各パッケージを確認するには次のコマンドをご利用ください:
rpm --checksig filename

各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、 以下のコマンドで MD5 サムのみを調べてください:
rpm --checksig --nogpg filename

注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。

8. 参照: