Rsync 未授权缓冲区溢出漏洞

漏洞描述:

Rsync文件同步工具被披露存在多达六个安全漏洞,其中包含一个由于校验和长度处理不当导致堆缓冲区溢出,由于处理不当的攻击者控制的校长(s2length)在代码,当MAX_DIGEST_LEN超过固定SUM_LENGTH(16字节),攻击者能写出界在sum2缓冲区,漏洞可能导致攻击者在客户端执行任意代码,读取敏感数据等,Rsync官方已发布新版本修复这些漏洞,建议受影响用户及时采取防护措施。

修复建议:
正式防护方案:
针对此漏洞,官方已经发布了漏洞修复版本,请立即更新到安全版本:

Rsync Rsync >=3.4.0

下载链接:
https://github.com/RsyncProject/rsync/releases

安装前,请确保备份所有关键数据,并按照官方指南进行操作。安装后,进行全面测试以验证漏洞已被彻底修复,并确保系统其他功能正常运行。

参考链接:
https://www.openwall.com/lists/oss-security/2025/01/14/3

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Rsync 未授权缓冲区溢出漏洞