Sicherheitslücke in rsync
Durch eine Sicherheitslücke im rsync-Werkzeug könnten Angreifer möglicherweise Schadcode einschleusen.
In dem rsync-Werkzeug zum Abgleich von Dateien und Verzeichnissen hat der Suse-Entwickler Sebastian Krahmer zwei sogenannte Off-by-One-Fehler entdeckt. Die betroffene Funktion f_name() aus der Datei sender.c verarbeitet dadurch präparierte Verzeichnisnamen nicht korrekt und schneidet unter Umständen einen abschließenden Slash im Verzeichnisnamen ab.
Angreifer könnten die Lücke unter Umständen zum Einschleusen von Schadcode ausnutzen. Krahmer stellt einen Patch für die betroffene, aktuelle rsync-Version 2.6.9 bereit, mit dem Selbstkompilierer ihre rsync-Quelltexte aktualisieren können. Ältere Versionen enthalten die Fehler möglicherweise ebenfalls. Die Linux-Distributoren verteilen inzwischen fehlerbereinigte rsync-Pakete, die Nutzer des Werkzeugs zügig einspielen sollten.
Siehe dazu auch:
- Eintrag und Beschreibung des Fehlers in der Datenbank Common Vulnerabilities and Exposures
- Patch für rsync-2.6.9 von Sebastian Krahmer
(dmk)