Säkerhetsbulletin från Debian
DSA-4377-1 rssh -- säkerhetsuppdatering
- Rapporterat den:
- 2019-01-30
- Berörda paket:
- rssh
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 919623.
I Mitres CVE-förteckning: CVE-2019-1000018. - Ytterligare information:
-
ESnets säkerhetsgrupp upptäckte en sårbarhet i rssh, ett begränsat skal som endast tillåter användare att urföra scp, sftp, cvs, svnserve (Subversion), rdist och/eller rsync-operationer. Saknad validering i scp-stödet kunde resultera i förbigång av denna restriktion, tillåter exekvering av godtycklig skalkommandon.
Vänligen notera att med denna uppdatering kan inte
-3
-alternativet i scp användas längre.För den stabila utgåvan (Stretch) har detta problem rättats i version 2.3.4-5+deb9u1.
Vi rekommenderar att ni uppgraderar era rssh-paket.
För detaljerad säkerhetsstatus om rssh vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/rssh