[TLP:CLEAR] Rsync opravuje 6 zraniteľností
Rsync verziou 3.4.0 opravuje 6 zraniteľností, pričom niektoré zraniteľnosti sa týkajú rsync serveru a niektoré klienta [1]. Následne bola vydaná verzia 3.4.1, ktorá opravuje niektoré regresie z verzie 3.4.0 [17]. Zraniteľnosť CVE-2024-12084 (RCE) nepostihuje inštancie s operačným systémom z rodiny Red Hat [2], u Debianu táto zraniteľnost nepostihuje iba vydanie bullseye [3] a Ubuntu je zraniteľné iba vo vydaniach noble a jammy [4]. Jednotlivé vydania OS a ich opravené verzie: Debian [3][5][6][7][8][9]: bookworm (security) - 3.2.7-1+deb12u2 sid, trixie - 3.3.0+ds1-4 Ubuntu [4][10][11][12][13][14] - noble - 3.2.7-1ubuntu1.1 jammy - 3.2.7-0ubuntu0.22.04.3 focal - 3.1.3-8ubuntu0.8 bionic - 3.1.2-2.1ubuntu1.6+esm1 xenial - 3.1.1-3ubuntu1.3+esm3 Gentoo - aktualizácia dostupná pre bežne používané architektúry [15] Red Hat [16]
Neautentizovanému vzdialenému útočníkovi je spôsobením pretečenia haldy potenciálne umožnené spúšťať kód [1].
Zraniteľnosť sa nachádza v produkte rsync vo verziách >3.2.7 AND <3.4.0.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-12084 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 1. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene zobrazovať dáta z pamäte [1].
Zraniteľnosť sa nachádza v produkte rsync vo verziách <3.4.0.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2024-12085 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 1. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene zobrazovať súbory na disku rsync klienta [1].
Zraniteľnosť sa nachádza v produkte rsync vo verziách <3.4.0.
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N
Viac informácií:
- CVE-2024-12086 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 1. 2025.
Neautentizovanému vzdialenému útočníkovi je za určitých okolností umožnené zapisovať súbory do ľubovolných lokácií na disk rsync klienta [1].
Zraniteľnosť sa nachádza v produkte rsync vo verziách <3.4.0.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Viac informácií:
- CVE-2024-12087 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-12088 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 1. 2025.
Autentizovanému lokálnemu útočníkovi je umožnené zobrazovať citlivé informácie, čo môže potenciálne spôsobiť eskaláciu privilégií [1].
Zraniteľnosť sa nachádza v produkte rsync vo verziách <3.4.0.
CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N
Viac informácií:
- CVE-2024-12747 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 1. 2025.
Odkazy
- [1] https://www.openwall.com/lists/oss-security/2025/01/14/3
- [2] https://access.redhat.com/security/cve/cve-2024-12084
- [3] https://security-tracker.debian.org/tracker/CVE-2024-12084
- [4] https://ubuntu.com/security/CVE-2024-12084
- [5] https://security-tracker.debian.org/tracker/CVE-2024-12085
- [6] https://security-tracker.debian.org/tracker/CVE-2024-12086
- [7] https://security-tracker.debian.org/tracker/CVE-2024-12087
- [8] https://security-tracker.debian.org/tracker/CVE-2024-12088
- [9] https://security-tracker.debian.org/tracker/CVE-2024-12747
- [10] https://ubuntu.com/security/CVE-2024-12085
- [11] https://ubuntu.com/security/CVE-2024-12086
- [12] https://ubuntu.com/security/CVE-2024-12087
- [13] https://ubuntu.com/security/CVE-2024-12088
- [14] https://ubuntu.com/security/CVE-2024-12747
- [15] https://packages.gentoo.org/packages/net-misc/rsync
- [16] https://access.redhat.com/errata/RHSA-2025:0324
- [17] https://download.samba.org/pub/rsync/NEWS#3.4.1
Za CESNET-CERTS Martin Krajči dňa 20. 1. 2025.
