rsync出现多个高危安全漏洞 可被窃取数据甚至执行恶意代码
Unix 平台流行的文件同步工具 rsync 日前被爆出多个安全漏洞,当然这些漏洞已经修复所以才会被披露,使用 rsync 的用户建议立即升级到 3.4.0+ 版封堵漏洞。
借助这些漏洞攻击者可以控制恶意服务器并读取、写入任何已连接的客户端的任意文件,包括但不限于用来提取敏感数据例如 SSH 密钥或通过覆盖~/.bashrc 和~/.popt 等文件执行恶意代码。
涉及到的安全漏洞如下:
CVE-2024-12084:CVSS 评分 9.8 分,由于校验和长度处理不当导致 rsync 中的缓冲区堆栈溢出
CVE-2024-12085:CVSS 评分 7.5,通过未初始化的堆栈内容泄露信息
CVE-2024-12086:CVSS 评分 6.1,rsync 服务器泄露任意客户端文件
CVE-2024-12087:CVSS 评分 6.5,rsync 中的路径遍历漏洞
CVE-2024-12088:CVSS 评分 6.5,–safe-links 选项绕过导致路径遍历
CVE-2024-12747:CVSS 评分 5.6,处理符号链接时 rsync 中的竞争条件
以上 6 个安全漏洞中的前 5 个都是由谷歌云漏洞研究团队发现的,第 6 个漏洞则是由安全研究人员 Aleksei Gorban 发现的,目前这些漏洞都已经在 rsync 3.4.0 版中修复。
红帽产品安全部门称:在最严重的漏洞中攻击者只需要对 rsync 服务器例如公共镜像镜像匿名读取访问即可在运行该服务器的机器上执行任意代码,这种情况对大量使用 rsync 的镜像网站来说也构成了极大的威胁。
而使用 CVE-2024-12084 和 12085 则可以在运行 rsync 服务器的客户端上实现任意代码,考虑到这些漏洞的危害性,红帽建议使用 rsync 的用户尽快升级。
下载地址:https://github.com/RsyncProject/rsync/releases
如果暂时无法升级到最新版修复漏洞,则可以通过以下方式进行缓解:
1. 针对 CVE-2024-12084 漏洞:通过使用 CFLAGS=-DDISABLE_SHA512_DIGEST 和 CFLAGS=-DDISABLE_SHA256_DIGEST 进行编译禁用 SHA* 支持
2. 针对 CVE-2024-12085 漏洞:使用 -ftrivial-auto-var-init=zero 进行编译以将堆栈内容清零
-
CVE-2025-6018 Linux系统出现重大安全漏洞
网络安全公司 QUALYS 旗下威胁研究部门 TRU 日前在 Linux 系统中发现两个相关的本地权限提升漏洞,借助该漏洞可以轻松将普通用户权限提升到 root 级别从而进行更多敏感操作。CVE-20
-
Jellyfin 多媒体应用程序软件套装
Jellyfin 是一个免费开源的媒体服务器软件,用于组织、管理和流媒体共享您的音频、视频和图片等媒体内容。主要功能:个人媒体中心:Jellyfin 允许您将自己的媒体文件整理成库,创建个人的媒体中心
-
小皮面板,永久免费的国内老牌的Linux服务器管理面板
小皮面板(XPanel)是一款面向 Linux 运维的服务器管理面板。由老牌的免费公益软件 phpStudy 团队进行开发,于 2024 年基于全新技术架构升级重构,通过 Web 端轻松管理服务器,提
关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- Windows 11 24H2最新补丁导致蓝屏死机 微软已部署解决方案请保持联网
- 日元对人民币汇率2025年3月11日
- 回望MWC24:RedCap走进商用元年 业界期盼模组规模集采
- 【有料视频】各品牌手机充电画面谁最好看?
- 年轻人的财富密码,被揉进了刮刮乐里
- 美元兑人民币汇率2023年5月12日
- 天数智芯发布通用GPU推理产品智铠100,训推一体加速构建AI自主生态
- 字节系社交“高开低走”
- 统信软件亮相服贸会,夯实数字化转型核心底座
- 超融合架构的咒语竟然是……
- 隐退的张一鸣,跳不动的字节
- 字节跳动磋商出售 TikTok 印度业务;春节档电影票房累计突破 30 亿;iOS版YouTube时隔两月首次更新|Do早报