Schwere Sicherheitslücken in Rsync behoben

Schwere Sicherheitslücken in Rsync behoben

Rsync-Logo

Rsync-Logo

Rsync 3.4.0

Eine Gruppe von Google-Forschern und Aleksei Gorban haben gravierende Sicherheitslücken im Dateisynchronisationswerkzeug Rsync entdeckt. Die ab sofort erhältliche Version 3.4.0 stopft alle Löcher und behebt nebenbei noch ein paar weitere Fehler.

Anwender sollten daher möglichst schnell auf das aktuelle Rsync umsteigen. Damit Administratoren leichter feststellen können, ob bei ihnen noch eine verwundbare Version läuft, hat das Rsync-Team die Protokollnummer auf die 32 geändert.

Insgesamt sechs Sicherheitslücken haben Simon Scannell, Pedro Gallegos, Jasiel Spelman und Aleksei Gorban entdeckt. Die ersten fünf tragen die CVE-Nummern CVE-2024-12084 bis CVE-2024-12088. Für technisch Interessierte im Schnelldurchgang: Unter bestimmten Umständen erzeugt Rsync einen Pufferüberlauf auf dem Heap, Angreifer können in den Vergleich von Prüfsummen eingreifen, der Rsync-Server verrät Dateiinhalte auf der Client-Seite, Dateien lassen sich mithilfe von symbolischen Links außerhalb des Zielverzeichnisses ablegen und die Option „–safe-links“ funktioniert in einigen Fällen nicht korrekt. Bei der sechsten Sicherheitslücke stolpert Rsync ebenfalls über symbolische Links, was schließlich zu einer Race Condition führt. Diese Lücke ist unter der Kennung CVE-2024-12747 archiviert. Sämtliche Sicherheitslücken beschreibt ausführlich eine eigene Internetseite.

Rsync 3.4.0 schließt alle genannten Lücken sowie einige weitere Fehler. Unter Linux funktioniert beispielsweise die Prüfung der IPv6-Konfiguration wieder korrekt. Die von Rsync verwendete Popt-Bibliothek kommt in der Version 1.19 zum Einsatz, die gleichzeitig nicht mehr einen Speicherfehler beim Einsatz einer aktuellen GCC-Version provoziert.

Ähnliche Artikel

IPFire 2.29 Core Update 202 schließt Kernel-Lücken

IPFire 2.29 Core Update 202

IPFire-Maskottchen
Tim Schürmann

Die neue Version der schlanken und flexiblen Firewall stopft die vor einigen Tagen entdeckten kritischen Sicherheitslücken im Kernel. Das Update von OpenVPN auf die Version 2.7 steigert zudem massiv den Durchsatz über VPN-Tunnel.

Was sonst noch unwichtig war in der Kalenderwoche 21/26

Was sonst noch unwichtig war

Tim Schürmann

Fünf fabelhafte Fakten der Woche, die es irgendwie nicht zu einer Meldung auf Linux-Magazin Online geschafft haben – und warum eigentlich nicht. Oder mit den Worten einer namhaften KI: „Die Linux-Woche in Bits und Panik.“

WordPress 7.0 verbessert Backend-Optik und setzt auf KI

WordPress 7.0

Logo WordPress
Tim Schürmann

Die Louis Armstrong gewidmete Version des Content-Management-Systems kommuniziert auf Wunsch mit generativer KI, zeigt ein leicht aufpoliertes Backend, erlaubt einen schnellen Blick in die Vergangenheit und kann die Schriftbibliothek in allen Themes nutzen.

Proxmox VE 9.2 bietet neuen dynamischen Load Balancer

Proxmox VE 9.2

Proxmox-Logo
Tim Schürmann

Das Proxmox Virtual Environment bietet einen neuen Cluster Resource Scheduler (CRS) für das Load Balancing, verbessert das Software Defined Networking (SDN), verwaltet benutzerdefinierte CPUs über die Weboberfläche und erlaubt ein „disarm“ des HA-Managers.

Tails 7.8: Thunderbird ist nicht mehr standardmäßig dabei

Tails 7.8

Tails-Logo
Tim Schürmann

Das Live-System Tails erlaubt das anonyme Surfen im Internet über das Tor-Netzwerk. Die neue Version 7.8 schmeißt Thunderbird von Bord – wer den E-Mail-Client benötigt, muss ihn ab sofort manuell nachinstallieren. Diese Maßnahme hat allerdings einen triftigen Grund.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
© COMPUTEC MEDIA GmbH
Nach oben