Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Linux rsync <= 3.1.1 Betroffene Plattformen: Red Hat Fedora 22 Red Hat Fedora 23 Eine Schwachstelle in Rsync bei der Prüfung von Pfadnamen ermöglicht einem entfernten, nicht authentifizierten Angreifer ein unsicheres Schreiben von Dateien und damit die Kompromittierung des Systems. Ein Update auf Version 3.1.2 behebt diese Schwachstelle. Fedora stellt für die Distributionen Fedora 22 und 23 als Sicherheitsupdate die Pakete rsync-3.1.1-7.fc22 im Status 'testing' und rsync-3.1.1-8.fc23 im Status 'stable' zur Verfügung. Patch: Fedora Security Update FEDORA-2016-4a21ce89d3 (Fedora 22) https://bodhi.fedoraproject.org/updates/FEDORA-2016-4a21ce89d3

Patch:

Fedora Security Update FEDORA-2016-4aec7860d8 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-4aec7860d8

FEDORA-BUG-ID-1293854: Schwachstelle in rsync erlaubt Manipulation von
Dateien

Es existiert eine nicht näher beschriebene Schwachstelle in rsync bei der
Prüfung von Pfadnamen. Ein entfernter, nicht authentifizierter Angreifer
kann mittels eines rsync-Servers über einen unsicheren Zielpfad, wie einen
‘just-sent symlink’, Dateien außerhalb des Transferpfades schreiben und
somit das betroffene Client-System kompromittieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0041/

Fedora Security Update FEDORA-2016-4a21ce89d3 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-4a21ce89d3

Fedora Security Update FEDORA-2016-4aec7860d8 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-4aec7860d8

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.