Fedora 20:csync2-1.34-15.fc20 / duplicity-0.6.25-3.fc20 / librsync-1.0.0-1.fc20 / 等 (2015-3366)
medium Nessus 插件 ID 81958
语言:
简介
远程 Fedora 主机缺少一个或多个安全更新。描述
librsync 1.0.0 中的变更 (2015-01-23) ======================================- 安全:CVE-2014-8242:librsync 此前使用截断的 MD4“强”校验和来匹配区块。
但是,MD4 并非为一种强大的加密方式。如果使用 librsync/rdiff 传输文件,则能够控制文件某一部分内容的攻击者可利用此缺陷控制文件的其他区域。例如,在包含某些攻击者控制的数据的数据库、邮箱或 VM 图像中都可能发生这种情况。为缓解这一问题,将默认使用 256 位 BLAKE2 哈希计算签名。当提供这些签名文件时,旧版本的 librsync 会报告错误幻数。可使用新的“rdiff sig --hash=md4”选项或通过指定 API 中的“签名幻数”获得向后的兼容性,但当新旧文件中包含不受信任的数据时不能使用第二种方法。从这些签名生成的增量还将在生成期间使用 BLAKE2,但产生的输出可供旧版本读取。请参阅 https://github.com/librsync/librsync/issues/5。感谢 Michael Samuel <miknet.net> 报告此问题并提供最初的修补程序。
- 多种版本补丁,感谢 Timothy Gu。
- 改进的 rdiff 手册页,由 Debian 提供。
- 改进的 librsync.spec 文件,用于构建 RPM。
- 修复了大型文件中的缺陷 #1110812,“内部错误:作业没有进度”。
- 将托管主机移动至 https://github.com/librsync/librsync/
- Travis-CI.org 集成测试,网址为 https://travis-ci.org/librsync/librsync/
- 删除 popt 的捆绑副本;必须进行单独安装。
- 您可以在运行“autogen.sh”之前设置“$LIBTOOLIZE”,例如,在 OS X Homebrew 上,它被称为“glibtoolize”。
请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。
解决方案
更新受影响的数据包。另见
https://bugzilla.redhat.com/show_bug.cgi?id=1126712
https://github.com/librsync/librsync/
https://github.com/librsync/librsync/issues/5.
http://www.nessus.org/u?8141e605
http://www.nessus.org/u?17aef938
http://www.nessus.org/u?eaaf0e09
插件详情
严重性: Medium
ID: 81958
文件名: fedora_2015-3366.nasl
版本: 1.6
类型: local
代理: unix
发布时间: 2015/3/20
最近更新时间: 2021/1/11
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.7
CVSS v2
风险因素: Medium
基本分数: 5.8
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P
漏洞信息
CPE: cpe:/o:fedoraproject:fedora:20, p-cpe:/a:fedoraproject:fedora:duplicity, p-cpe:/a:fedoraproject:fedora:csync2, p-cpe:/a:fedoraproject:fedora:rdiff-backup, p-cpe:/a:fedoraproject:fedora:librsync
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
补丁发布日期: 2015/3/9
参考资料信息
CVE: CVE-2014-8242
FEDORA: 2015-3366