N/A

The daemon in rsync 3.1.2, and 3.1.3-development before 2017-12-03, does not check for fnamecmp filenames in the daemon_filter_list data structure (in the recv_files function in receiver.c) and also does not apply the sanitize_paths protection mechanism to pathnames found in "xname follows" strings (in the read_ndx_and_attrs function in rsync.c), which allows remote attackers to bypass intended access restrictions.

N/A

N/A

rsync 安全漏洞

rsync是澳大利亚软件开发者安德鲁-垂鸠（Andrew Tridgell）和保罗-麦可拉斯（Paul Mackerras）共同研发的一套用于类Unix系统中的数据镜像备份应用程序，它能够同步更新两处计算机的文件与目录，并利用差分编码减少数据传输。 rsync 2017-11-03之前的3.1.2和3.1.3-development版本中的守护进程存在安全漏洞，该漏洞源于程序没有检测daemon_filter_list数据结构中的fnamecmp文件名，并未对‘xname follows’字符串中的路径名

N/A

N/A