rsync-folkene har modtaget beviser på at en sårbarhed i alle versioner af rsync, et hurtigt program til fjernkopiering af filer, før version 2.5.7, for nylig blev benyttet i forbindelse med en Linux-kernesårbarhed til at bryde en offentlig rsync-servers sikkerhed.
Selvom denne stakoverløbssårbarhed ikke alene kunne anvendes til at få root-adgang på en rsync-server, kunne den bruges i forbindelse med den nyligt annoncerede do_brk()-sårbarhed i Linux-kernen til at foretage et totalt fjernindbrud.
Bemærk venligst at denne sårbarhed kun påvirker anvendelsen af rsync som en "rsync-server". For at finde ud af om man kører en rsync-server, kan kommandoen "netstat -a -n" anvendes til at finde ud af, om der lyttes på TCP-port 873. Hvis der ikke lyttes på TCP-port 873, kører man ikke en rsync-server.
I den stabile distribution (woody) er dette problem rettet i version 2.5.5-0.2.
I den ustabile distribution (sid) er dette problem rettet i version 2.5.6-1.1.
Da Debians infrastruktur endnu ikke er helt funktionsdygtig efter det nylige indbrud, kan der ikke overføres pakker til den ustabile distribution i en periode. Derfor er pakkerne gjort tilgængelige fra Joeys hjemmemappe på sikkerhedsmaskinen.
Vi anbefaler at du omgående opgraderer din rsync-pakke hvis du stiller fjernsynkroniseringstjenester til rådighed. Hvis du kører distributionen testing og stiller fjernsynkroniseringstjenester til rådighed, så anvend pakke til woody.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.