Рекомендация Debian по безопасности

DSA-4382-1 rssh -- обновление безопасности

Дата сообщения:
02.02.2019
Затронутые пакеты:
rssh
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2019-3463, CVE-2019-3464.
Более подробная информация:

Ник Клитон обнаружил две уязвимости в rssh, ограниченной командной оболочке, позволяющей пользователям выполнять только операции scp, sftp, cvs, svnserve (Subversion), rdist и/или rsync. Отсутствие проверки в поддержке rsync может приводить к обходу данного ограничения, позволяя выполнять произвольные команды командной оболочки.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 2.3.4-5+deb9u2.

Рекомендуется обновить пакеты rssh.

С подробным статусом поддержки безопасности rssh можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/rssh