Fedora 22:csync2-1.34-15.fc22 / duplicity-0.6.25-3.fc22 / librsync-1.0.0-1.fc22 等等 (2015-2923)
medium Nessus Plugin ID 81716
語系:
概要
遠端 Fedora 主機缺少一個或多個安全性更新。說明
librsync 1.0.0 中的變更 (2015-01-23) ======================================- 安全性:CVE-2014-8242:librsync 之前是使用截斷的 MD4「強」總和檢查來比對區塊。
然而,MD4 密碼編譯並不強。攻擊者若可可控制檔案的部分內容,在該檔案利用 librsync/rdiff 傳輸的情況下,就可能將此用來控制檔案的其他區域。例如,這可能在資料庫、信箱或包含某些攻擊者控制資料的 VM 影像中發生。為減輕此問題,簽章預設會由 256 位元的 BLAKE2 雜湊進行計算。舊版 librsync 在接收這些簽章檔案時會出現魔術數字不正確的訊息。向後相容性可以在使用新 `rdiff sig --hash=md4` 選項或在 API 中指定 [簽章魔術] 後取得,但如果舊或新檔案中含有未受信任的資料,則不應使用這種方法。從這些簽章中產生的 Delta 在產生時也會使用 BLAKE2,但產生的輸出可由舊版讀取。請參閱 https://github.com/librsync/librsync/issues/5。感謝 Michael Samuel <miknet.net> 報告此問題,並提供初步的修補程式。
- 多個版本修正,感謝 Timothy Gu。
- 改善來自 Debian 的 rdiff 手冊頁。
- 改善構建 RPM 的 librsync.spec 檔案。
- 修正大型檔案的錯誤 #1110812「內部錯誤:作業沒有進度」。
- 已將主機移至 https://github.com/librsync/librsync/
- Travis-CI.org 整合測試,位置:https://travis-ci.org/librsync/librsync/
- 移除隨附的 popt 複本;這必須分開安裝。
- 您可以先在 OS X Homebrew 等稱為 `glibtoolize` 的位置中,先設定 `$LIBTOOLIZE` 然後再執行 `autogen.sh`。
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
更新受影響的套件。另請參閱
https://bugzilla.redhat.com/show_bug.cgi?id=1126712
https://github.com/librsync/librsync/
https://github.com/librsync/librsync/issues/5.
http://www.nessus.org/u?bce8644f
http://www.nessus.org/u?aa7b5415
http://www.nessus.org/u?a2233ba5
Plugin 詳細資訊
嚴重性: Medium
ID: 81716
檔案名稱: fedora_2015-2923.nasl
版本: 1.7
類型: local
代理程式: unix
已發布: 2015/3/10
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.7
CVSS v2
風險因素: Medium
基本分數: 5.8
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:csync2, p-cpe:/a:fedoraproject:fedora:duplicity, p-cpe:/a:fedoraproject:fedora:librsync, p-cpe:/a:fedoraproject:fedora:rdiff-backup, cpe:/o:fedoraproject:fedora:22
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
修補程式發佈日期: 2015/3/2
參考資訊
CVE: CVE-2014-8242
FEDORA: 2015-2923