开源同步工具 rsync 曝重大漏洞,允许黑客越界写入缓冲区

2025-01-20 18:33:56 0 43

1 月 20 日消息,Red Hat 产品安全工程师 Nick Tait 发文,公布了 Unix 和 Linux 操作系统中常见的开源文件同步工具 rsync 存在的 6 项漏洞,目前 Rsync 已发布 3.4.0 版本修复了相关漏洞。

1 月 20 日消息,Red Hat 产品安全工程师 Nick Tait 发文,公布了 Unix 和 Linux 操作系统中常见的开源文件同步工具 rsync 存在的 6 项漏洞,目前 Rsync 已发布 3.4.0 版本修复了相关漏洞。

据介绍,6 项漏洞中最严重的是 CVE-2024-12084,CVSS 风险评分为 9.8 分(满分 10 分),该漏洞存在于 3.2.7 版本及以上的 rsync 中,主要原因是 Rsync 处理程序对校验和(checksum)长度验证不当,允许黑客越界写入 sum2 缓冲区,从而远程执行代码。


此外, 还披露了 CVE-2024-12085 漏洞,该漏洞 CVSS 风险评分为 7.5,主要发生在 Rsync 处理程序比对文件校验和的过程中。黑客通过操控校验和的长度,有机会使程序比对校验和与未初始化的内存,进而泄露部分未初始化的堆栈数据。

外媒 Bleeping Computer 进行调查后发现,超过 66 万台服务器可能因此受到安全威胁,主要涉及中国大陆和美国的服务器。

关于作者

zjgwhcn59篇文章76篇回复

评论0次

要评论?请先  登录  或  注册