关键词
漏洞
漏洞风险一览:
~/.bashrc
和 ~/.popt
),从而执行恶意代码。具体漏洞包括:
-
CVE-2024-12084 (CVSS 9.8): 由于校验和长度处理不当,rsync 中存在缓冲区堆栈溢出漏洞,攻击者可通过此漏洞在受影响的系统上执行任意代码。
-
CVE-2024-12085 (CVSS 7.5): 堆栈内容未初始化,攻击者可通过此漏洞泄露系统敏感信息。
-
CVE-2024-12086 (CVSS 6.1): rsync 服务器可能泄露任意客户端文件,攻击者可利用此漏洞窃取文件。
-
CVE-2024-12087 (CVSS 6.5): 路径遍历漏洞,攻击者可绕过路径限制,访问非授权文件。
-
CVE-2024-12088 (CVSS 6.5): 使用
--safe-links
选项绕过路径遍历的保护机制,导致文件泄露。 -
CVE-2024-12747 (CVSS 5.6): 在处理符号链接时存在竞争条件,攻击者可利用该漏洞获取系统控制权。
漏洞来源:
最严重漏洞的影响:
如何保护自己?
-
针对 CVE-2024-12084: 通过使用
CFLAGS=-DDISABLE_SHA512_DIGEST
和CFLAGS=-DDISABLE_SHA256_DIGEST
禁用 SHA 算法支持,降低该漏洞的风险。 -
针对 CVE-2024-12085: 在编译时使用
-ftrivial-auto-var-init=zero
参数,以确保堆栈内容清零,从而防止泄露敏感信息。
下载链接:
用户可通过以下链接下载修复版本:
https://github.com/RsyncProject/rsync/releases
总结:
END
原文始发于微信公众号(安全圈):【安全圈】高危!rsync被爆出多个安全漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论