Säkerhetsbulletin från Debian

DSA-4377-1 rssh -- säkerhetsuppdatering

Rapporterat den:
2019-01-30
Berörda paket:
rssh
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 919623.
I Mitres CVE-förteckning: CVE-2019-1000018.
Ytterligare information:

ESnets säkerhetsgrupp upptäckte en sårbarhet i rssh, ett begränsat skal som endast tillåter användare att urföra scp, sftp, cvs, svnserve (Subversion), rdist och/eller rsync-operationer. Saknad validering i scp-stödet kunde resultera i förbigång av denna restriktion, tillåter exekvering av godtycklig skalkommandon.

Vänligen notera att med denna uppdatering kan inte -3-alternativet i scp användas längre.

För den stabila utgåvan (Stretch) har detta problem rättats i version 2.3.4-5+deb9u1.

Vi rekommenderar att ni uppgraderar era rssh-paket.

För detaljerad säkerhetsstatus om rssh vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/rssh