Rsync 最近爆出一个重大漏洞(CVE-2024-12084),CVSS 评分为 9.8。该漏洞仅存在于 Rsync 3.2.7 和 3.3.0 版本中。为了解决这一安全问题,建议将 Rsync 升级到 3.4.0 或更高版本。当前最新版本为 3.4.1(官网链接https://rsync.samba.org/)。
具体安装步骤
步骤一:下载并解压 Rsync 源码
下载 Rsync 3.4.1 源代码:
wget https://download.samba.org/pub/rsync/src/rsync-3.4.1.tar.gz解压源代码:
tar -zxvfrsync-3.4.1.tar.gz进入解压后的目录:cdrsync-3.4.1步骤二:配置、编译并安装
创建安装目录:
mkdir /usr/local/rsync配置 Rsync:
./configure --prefix=/usr/local/rsync中间报错提示缺少xxhash-devel、libzstd-devel、lz4、lz4-devel、C编译器,阿里云源缺少相关组件,因此启用启用 EPEL 仓库,安装依赖库
yum install epel-release-yyum install xxhash-devel libzstd-devel lz4-devel gcc -y
安装完成后重新执行步骤2
make && make install
步骤三:替换旧版本的 Rsync
备份旧版本的 Rsync
在替换旧版本之前,建议先备份现有的 Rsync 可执行文件:
mv /usr/bin/rsync /usr/bin/rsync.old创建符号链接指向新版本
创建一个符号链接,使新的 Rsync 版本成为默认版本:
ln -s /usr/local/rsync/bin/rsync /usr/bin/rsync步骤四:验证安装
检查 Rsync 版本
验证新版本是否已正确安装:
rsync --version
参考链接:
https://avd.aliyun.com/detail?id=AVD-2024-12084×tamp__1384=WqjOY5YKiIeIxCqGNDQRenx0rXnEe%3DD8BUeD
https://access.redhat.com/security/cve/CVE-2024-12084
原文始发于微信公众号(网络个人修炼):修复 Rsync 漏洞 CVE-2024-12084
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论