WARNING rsync Extremely critical hole found in open source software

[Milan Kerslager]

On Fri, Dec 05, 2003 at 01:51:42PM +0100, Mirek Petricek wrote:
> V Pá, 05. 12. 2003 v 12.10, Milan Kerslager napsal:
> 
> > 
> > On jeste nekdo nechava otevreny volne port bez toho, aby dovolil vstup
> > pouze pres SSH spojeni na zaklade (vybranych) klicu?
> 
> > Ne - vazne - to je jen navod na dalsi opatreni pro ty, kteri takove veci
> > potrebuji pro omezenou skupinu lidi a maji ted trochu strach (krome
> > zmineneho opatreni dovolujiciho pristup jen z vybranych stroju).
> 
> rsync over rsh/ssh je úplně jiný typ služby (především na daném stroji
> musím mít účet) než rsync server (chcete-li rsyncd).
> 
> Myslim, že zmíněná feature - anonymní protokol rsyncd - je velice
> užitečný pro přístup k jakémukoliv většímu FTP serveru. Například se
> tímto způsobem dají velice snadno stahovat iso image distribucí a
> vlastně i veškerý ostatní obsah z ftp.linux.cz.

Jasne jsem tam napsal, ze "pro omezenou skupinu lidi", takze strilite
vedle.

Pokud chcete zpristupnit nejaka data pres rsync (i anonymne read-only) a
potrebujete treba otevrit i jine sluzby a mate obavu o bezpecnost (jako
ze se ukazuje, ze byste ji mel mit, pokud mate nejaka data, kterym se ma
alespon trochu duverovat), pak je asi nejjednodussi pripojit dane datove
pole na tu masinu read-only, jinak si koledujete o pruser (tj. pripojit
to z jine masiny).

Jiste to neni jedina cesta, nicmene se ukazuje, ze ty ostatni moc
bezpecne nejsou (jako treba dodatecne security opatreni a podobne, ktere
sice u Gentoo zabraly drive, nez u Debianu, ale i tak az s krizkem po
funuse).

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/