Sicherheitslücke in Dateitransfertool rsync geschlossen

Durch einen Buffer Overflow in Zusammenhang mit erweiterten Attributen (xattr) soll es einem Angreifer möglich sein, eigenen Code in ein verwundbares System einzuschleusen und zu starten.

12

11.04.2008, 10:47 Uhr

Lesezeit: 1 Min.

Security

Von

Daniel Bachfeld

Die Entwickler des Dateitransfertools rsync haben die Version 3.0.2 vorgelegt, in der eine Sicherheitslücke geschlossen wurde. Durch einen Buffer Overflow in Zusammenhang mit erweiterten Attributen (xattr) soll es einem Angreifer aus der Ferne möglich sein, eigenen Code in ein verwundbares System einzuschleusen und zu starten. Betroffen sind zwar grundsätzlich die rsync-Versionen 2.6.9 bis 3.0.1, allerdings wird die Funktion xattr nicht auf allen Systemen standardmäßig unterstützt.

Das Update behebt das Problem, alternativ können Anwender beim Betrieb eines rsync-Daemons in der Datei /etc/rsyncd.conf auch die Option refuse options = xattrs eintragen beziehungsweise zu den vorhandenen Optionen hinzufügen. Die Linux-Distributoren verteilen bereits aktualisierte Pakete.

Siehe dazu auch:

Xattr security fix in 3.0.2, Meldung der Entwickler

(dab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Sicherheitslücke in Dateitransfertool rsync geschlossen

Spiele

1 Monat gratis lesen.Jetzt 1 Monat gratis lesen.

Das digitale Abo für IT und Technik.