Debian dsa-5843: rsync - 安全性更新
high Nessus Plugin ID 214097
語言:
概要
遠端 Debian 主機上缺少一個或多個安全性更新。說明
遠端 Debian 12 主機上安裝的一個套件受到 dsa-5843 公告中提及的多個弱點影響。- ------------------------------------------------- ------------------------------------ Debian 安全公告 DSA-5843-2 [email protected] Debian 安全公告 DSA-5843-1 [email protected] https://www.debian.org/security/Salvatore Bonaccorso 2025 年 1 月 16 日 https://www.debian.org/security/faq
- -------------------------------------------------------------------------
套件: rsync Debian 錯誤: 1093052 1093089 CVE ID: CVE-2024-12084 CVE-2024-12085 CVE-2024-12086 CVE-2024-12087 CVE-2024-12088 CVE-2024-12747
DSA 5843-1 中公告的 rsync 更新引入了一個使用 -H 選項保留硬連結時會發生的回歸問題。更新版套件現在可用於修正此問題。
在 rsync (一種快捷的多功能遠端 (和本機) 檔案複製工具) 中發現數個弱點。
CVE-2024-12084
Simon Scannell、Pedro Gallegos 和 Jasiel Spelman 發現堆積型緩衝區溢位弱點,這是未正確處理攻擊者控制的總和檢查碼長度所導致。遠端攻擊者可利用此缺陷來執行程式碼。
CVE-2024-12085
Simon Scannell、Pedro Gallegos 和 Jasiel Spelman 報告,rsync 比較檔案總和檢查碼的方式中包含缺陷,遠端攻擊者可利用此缺陷來觸發資訊洩漏。
CVE-2024-12086
Simon Scannell、Pedro Gallegos 和 Jasiel Spelman 發現,有一個缺陷會導致伺服器洩漏用戶端機器中任意檔案的內容。
CVE-2024-12087
Simon Scannell、Pedro Gallegos 和 Jasiel Spelman 報告,rsync 程序中包含與
--inc-recursive 選項有關的路徑遊走弱點,此弱點允許伺服器在用戶端預定目的地目錄之外寫入檔案。
CVE-2024-12088
Simon Scannell、Pedro Gallegos 和 Jasiel Spelman 報告,當使用 --safe-links 選項時,rsync 無法正確驗證符號連結目的地是否含有另一個符號連結,這會導致路徑遊走弱點和伺服器在所需目錄之外寫入任意檔案。
CVE-2024-12747
Aleksei Gorban loqpa 發現,處理符號連結時產生的爭用條件會造成資訊洩漏,進而可能觸發特權提升攻擊。
針對穩定的發行版本 (bookworm),已在 3.2.7-1+deb12u2 版中修正這些問題。
建議您升級 rsync 套件。
如需有關 rsync 安全性狀態的詳細資訊,請參閱其安全追蹤頁面:
https://security-tracker.debian.org/tracker/rsync
有關 Debian 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊,請參閱 : https://www.debian.org/security/
郵寄清單: [email protected]
Tenable 已直接從 Debian 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 rsync 套件。另請參閱
https://security-tracker.debian.org/tracker/source-package/rsync
https://security-tracker.debian.org/tracker/CVE-2024-12084
https://security-tracker.debian.org/tracker/CVE-2024-12085
https://security-tracker.debian.org/tracker/CVE-2024-12086
https://security-tracker.debian.org/tracker/CVE-2024-12087
https://security-tracker.debian.org/tracker/CVE-2024-12088
Plugin 詳細資訊
嚴重性: High
ID: 214097
檔案名稱: debian_DSA-5843.nasl
版本: 1.5
類型: local
代理程式: unix
已發布: 2025/1/14
已更新: 2025/6/19
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2024-12084
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.7
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2024-12088
弱點資訊
CPE: cpe:/o:debian:debian_linux:12.0, p-cpe:/a:debian:debian_linux:rsync
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2025/1/14
弱點發布日期: 2025/1/14
參考資訊
CVE: CVE-2024-12084, CVE-2024-12085, CVE-2024-12086, CVE-2024-12087, CVE-2024-12088, CVE-2024-12747