Sicherheitslücke in Dateitransfertool rsync geschlossen
Durch einen Buffer Overflow in Zusammenhang mit erweiterten Attributen (xattr) soll es einem Angreifer möglich sein, eigenen Code in ein verwundbares System einzuschleusen und zu starten.
- Daniel Bachfeld
Die Entwickler des Dateitransfertools rsync haben die Version 3.0.2 vorgelegt, in der eine Sicherheitslücke geschlossen wurde. Durch einen Buffer Overflow in Zusammenhang mit erweiterten Attributen (xattr) soll es einem Angreifer aus der Ferne möglich sein, eigenen Code in ein verwundbares System einzuschleusen und zu starten. Betroffen sind zwar grundsätzlich die rsync-Versionen 2.6.9 bis 3.0.1, allerdings wird die Funktion xattr nicht auf allen Systemen standardmäßig unterstützt.
Das Update behebt das Problem, alternativ können Anwender beim Betrieb eines rsync-Daemons in der Datei /etc/rsyncd.conf auch die Option refuse options = xattrs eintragen beziehungsweise zu den vorhandenen Optionen hinzufügen. Die Linux-Distributoren verteilen bereits aktualisierte Pakete.
Siehe dazu auch:
- Xattr security fix in 3.0.2, Meldung der Entwickler
(dab)