Mandriva Linux 安全性公告:librsync (MDVSA-2015:204)

high Nessus Plugin ID 83096

Synopsis

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

描述

更新版 librsync 套件可修正一個安全性弱點:

1.0.0 版之前的 librsync 會使用截斷的 MD4「強式」總和檢查來比對區塊。然而,MD4 密碼編譯並不強。攻擊者若可控制檔案的部分內容,在該檔案利用 librsync/rdiff 傳輸的情況下,便可利用此弱點,控制檔案的其他區域 (CVE-2014-8242)。

此修正的變更版本與舊版 librsync 不相容。若要支援回溯相容,可使用新的 rdiff sig --hash=md4 選項或在 API 中指定簽章魔術數字,但若舊或新檔案中含有未受信任的資料,則不應使用這種方法。

此外,所有使用 librsync 程式庫的應用程式也必須根據更新版程式庫重新編譯。rdiff-backup 套件已就此原因進行重建。

解決方案

更新受影響的套件。

另請參閱

http://advisories.mageia.org/MGASA-2015-0146.html

Plugin 詳細資訊

嚴重性: High

ID: 83096

檔案名稱: mandriva_MDVSA-2015-204.nasl

版本: 2.4

類型: local

已發布: 2015/4/28

已更新: 2021/1/14

風險資訊

VPR

風險因素: Low

分數: 3.7

弱點資訊

CPE: p-cpe:/a:mandriva:linux:lib64rsync-devel, p-cpe:/a:mandriva:linux:lib64rsync2, p-cpe:/a:mandriva:linux:rdiff, p-cpe:/a:mandriva:linux:rdiff-backup, cpe:/o:mandriva:business_server:1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

修補程式發佈日期: 2015/4/27

參考資訊

CVE: CVE-2014-8242

MDVSA: 2015:204