Säkerhetsbulletin från Debian

DSA-4382-1 rssh -- säkerhetsuppdatering

Rapporterat den:
2019-02-02
Berörda paket:
rssh
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2019-3463, CVE-2019-3464.
Ytterligare information:

Nick Cleaton upptäckte två sårbarheter i rssh, ett begränsat skal som tillåter användare att endast utföra scp, sftp, cvs, svnserve (Subversion), rdist och/eller rsync-operationer. Saknad validering i rsync-stödet kunde resultera i förbigång av denna restriktion, vilket tillåter exekvering av godtyckliga skalkommandon.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.3.4-5+deb9u2.

Vi rekommenderar att ni uppgraderar era rssh-paket.

För detaljerad säkerhetsstatus om rssh vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/rssh