Рекомендация Debian по безопасности
DSA-4382-1 rssh -- обновление безопасности
- Дата сообщения:
- 02.02.2019
- Затронутые пакеты:
- rssh
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2019-3463, CVE-2019-3464.
- Более подробная информация:
-
Ник Клитон обнаружил две уязвимости в rssh, ограниченной командной оболочке, позволяющей пользователям выполнять только операции scp, sftp, cvs, svnserve (Subversion), rdist и/или rsync. Отсутствие проверки в поддержке rsync может приводить к обходу данного ограничения, позволяя выполнять произвольные команды командной оболочки.
В стабильном выпуске (stretch) эти проблемы были исправлены в версии 2.3.4-5+deb9u2.
Рекомендуется обновить пакеты rssh.
С подробным статусом поддержки безопасности rssh можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/rssh