Zwei Sicherheitslücken in der Synchronisations-Lösung Rsync und eine im aktuellen Linux-Kernel meldet der Sicherheitsdienstleister Secunia.
Von den Lücken in Rsync sind nach Angaben der Entwickler alle aktuellen Versionen betroffen. Die erste Lücke tritt in Konfigurationen auf, in denen der Rsync-Deamon mit der Option "use chroot = no" läuft. Dadurch wird es möglich, einen Symlink außerhalb der Hirarchie des Moduls anzulegen. Angreifer können so Schreibzugriff auf andere Systembestandteile erhalten und Sicherheitseinstellungen umgehen.
Die zweite Sicherheitslücke entsteht durch Fehler in den Beschränkungsoptionen "exclude", "exclude from" und "filter". Auch sie ermöglichen die Umgehung von Sicherheitsbeschränkungen durch Symlinks. Allerdings hier mit der Einschränkung, dass der Angreifer den Dateinamen der zu attackierenden Datei kennen muss. Weitere Details zu beiden Problemen enthält der Sicherheitsbericht des Rsync-Teams.
Der Fehler im Kernel betrifft das ISDN-Subsystem der aktuellen Version 2.6.23 und möglicherweise auch das älterer Versionen. Ein Boundary-Error in der Funktion "isdn_net_setcfg()" kann zu einem Buffer Overflow führen. Betroffen ist die Datei "drivers/isdn/i4l/isdn_net.c". Um die Sicherheitslücke auszunutzen, muss ein Angreifer allerdings eine spezielle IOCTL-Anfrage an das Pseudo-Gerät "/dev/isdnctrl" stellen. Voraussetzung dafür sind Schreibrechte auf das Gerät. Weitere Einzelheiten zum Fehler und zur betroffenen Datei haben die Entwickler im Bugreport 9416 zusammengefasst.
Alle drei Fehler bewertet Secunia als weniger gefährlich. Während die Rsync-Entwickler bereits einen Patch veröffentlicht haben, der die beiden Lücken schließt, besteht der Fehler im ISDN-Subsystem des Kernels noch. Patches seien jedoch bereits an die verantwortlichen Maintainer geschickt worden, heißt es im Bugreport. Rsync-Anwendern wird empfohlen, zusätzlich zum Patchen der Anwendung die aktualisierte rsyncd.conf-Man-Page, speziell den Abschnitt "munge symlinks" zu Lesen.
Obwohl in den letzten Jahren viele technische Fortschritte erzielt werden konnten, verfügen die meisten Datenintegrationsprozesse nach wie vor nur über eine sehr begrenzte Automatisierung. Das vorliegende White Paper von dem Industry Analyst Mark Madson wird zunächst ein grundlegendes Verständnis von Daten Integration vermitteln, die Vorzüge von Open Source Lösungen für Daten Integration erläutern und Ihnen professionelle Empfehlungen geben, damit Sie Ihre Integrationsjobs noch einfacher und produktiver gestalten können.
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele (Folge 2)
Der zweite Teil des Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele White Papers beleuchtet anhand weiterer ausgewählter Case Studies die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
