In Rsync, einem Programm zur Dateisynchronisation, ist eine als kritisch eingestufte Sicherheitslücke entdeckt worden.
Ein Fehler der Funktion “f_name()” in der Quelltextdatei “flist.c” kann bei überlangen Verzeichnisnamen zu einem stack-based Buffer-Overflow führen. Dadurch kann in ungünstigen Fällen beliebiger Code ausgeführt werden. Die Sicherheitslücke mit der CVE-Nummer CVE-2007-4091 betrifft die Rsync-version 2.6.9 und möglicherweise auch weitere. Das Problem hat Sebastian Krahmer vom Suse-Security-Team entdeckt. In seinem Blog beschreibt er die Lücke ausführlich.
Ein erstes Update und ein Patch, um die Schwachstelle zu beheben liegen bereits vor. Benutzer von Suse Linux können es einfach per Online-Updater einspielen. Nutzer anderer Systeme können die Quellen patchen und selbst übersetzen. Anwendern, die beide Optionen nicht nutzen können, wird empfohlen, Rsync nur in vertrauenswürdigen Umgebungen zu benutzen.





