Debian dsa-5843:rsync - 安全更新
high Nessus 插件 ID 214097
语言:
简介
远程 Debian 主机上缺少一个或多个与安全相关的更新。描述
远程 Debian 12 主机上安装的一个程序包受到 dsa-5843 公告中提及的多个漏洞影响。- ------------------------------------------------------------------------- Debian 安全公告 DSA-5843-2 [email protected] Debian 安全公告 DSA-5843-1 [email protected] https://www.debian.org/security/Salvatore Bonaccorso 2025 年 1 月 16 日https://www.debian.org/security/faq
- -------------------------------------------------------------------------
程序包:rsync Debian 缺陷:1093052 1093089 CVE ID:CVE-2024-12084 CVE-2024-12085 CVE-2024-12086 CVE-2024-12087 CVE-2024-12088 CVE-2024-12747
DSA 5843-1 中公布的 rsync 更新在使用 -H 选项保留硬链接时引入了一个回归。现在可使用更新后的程序包来修复此问题。
在快速、通用的远程(和本地)文件复制工具 rsync 中发现数个漏洞。
CVE-2024-12084
Simon Scannell、Pedro Gallegos 和 Jasiel Spelman 发现一个基于堆的缓冲区溢出漏洞,这是因为未正确处理攻击者控制的校验和长度所导致。远程攻击者可利用此缺陷执行代码。
CVE-2024-12085
Simon Scannell、Pedro Gallegos 和 Jasiel Spelman 报告了 rsync 比较文件校验和的方式中存在缺陷,从而允许远程攻击者触发信息泄漏。
CVE-2024-12086
Simon Scannell、Pedro Gallegos 和 Jasiel Spelman 发现一个缺陷,其可导致服务器泄漏客户端计算机中的任意文件内容。
CVE-2024-12087
Simon Scannell、Pedro Gallegos 和 Jasiel Spelman 报告了 rsync 后台程序中的一个路径遍历漏洞,可影响
--inc-recursive 选项,可允许服务器写入客户端预期目标目录之外的文件。
CVE-2024-12088
Simon Scannell、Pedro Gallegos 和 Jasiel Spelman 报告,使用 --safe-links 选项时,rsync 无法正确验证符号链接目标中是否含有与其存在的另一个符号链接,从而导致路径遍历和所需目录外的任意文件写入。
CVE-2024-12747
Aleksei Gorban loqpa 发现处理符号链接时,存在一个争用条件,可导致信息泄露,从而可实现权限升级。
对于稳定发行版本 (bookworm),已在版本 3.2.7-1+deb12u2 中修复这些问题。
建议您升级 rsync 程序包。
如需了解 rsync 的详细安全状态,请参阅其安全跟踪页面:
https://security-tracker.debian.org/tracker/rsync
有关 Debian 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址:https://www.debian.org/security/
邮件列表:[email protected]
Tenable 已直接从 Debian 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 rsync 程序包。另见
https://security-tracker.debian.org/tracker/source-package/rsync
https://security-tracker.debian.org/tracker/CVE-2024-12084
https://security-tracker.debian.org/tracker/CVE-2024-12085
https://security-tracker.debian.org/tracker/CVE-2024-12086
https://security-tracker.debian.org/tracker/CVE-2024-12087
https://security-tracker.debian.org/tracker/CVE-2024-12088
插件详情
严重性: High
ID: 214097
文件名: debian_DSA-5843.nasl
版本: 1.5
类型: local
代理: unix
发布时间: 2025/1/14
最近更新时间: 2025/6/19
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2024-12084
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2024-12088
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:rsync, cpe:/o:debian:debian_linux:12.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/1/14
漏洞发布日期: 2025/1/14
参考资料信息
CVE: CVE-2024-12084, CVE-2024-12085, CVE-2024-12086, CVE-2024-12087, CVE-2024-12088, CVE-2024-12747