ProHoster > بلوق > أخبار الإنترنت > رسينك 3.4.0

رسينك 3.4.0

تم تحديث الأداة المساعدة لمزامنة الملفات Rsync لإزالة 6 نقاط ضعف خطيرة إلى حد ما. لتنفيذ هجوم باستخدام بعضها، يكفي الاتصال المجهول بخادم Rsync مع إمكانية الوصول للقراءة.

نقاط الضعف الثابتة:

  • CVE-2024-12084 - الكتابة خارج المخزن المؤقت المخصص من خلال إرسال مجموع اختباري غير صحيح يتجاوز حجمه 16 بايت.
  • CVE-2024-12085 - تسرب محتويات البيانات غير المهيأة من المكدس (بايت واحد في كل مرة) عند إجراء عمليات مقارنة المجموع الاختباري بحجم غير صحيح.
  • CVE-2024-12086 - الحصول على وصول الخادم إلى محتويات الملفات التعسفية من نظام العميل من خلال إنشاء الخادم لرموز الاتصال غير الصحيحة والمجاميع الاختبارية في عملية نسخ الملفات من العميل إلى الخادم (تحديد المحتويات بايت بايت من خلال تحديد المجموع الاختباري).
  • CVE-2024-12087 - تجاوز الدليل الأساسي عند استخدام خيار --inc-recursive (ممكّن افتراضيًا للعديد من العلامات). سبب الثغرة الأمنية هو عدم التحقق الصحيح من الروابط الرمزية وتسمح بكتابة الملفات خارج الدليل الهدف المحدد من قبل العميل. يمكن للخادم الذي يتحكم فيه مهاجم استخدام الثغرة الأمنية لمهاجمة نظام العميل المتصل.
  • CVE-2024-12088 - فحص غير صحيح للارتباطات الرمزية التي تشير إلى روابط رمزية أخرى عند استخدام خيار --safe-links. تتيح المشكلة إمكانية تجاوز الدليل الأساسي وكتابة البيانات إلى أي ملف على النظام، بالقدر الذي تسمح به الأذونات.
  • CVE-2024-12747 - حالة سباق عند العمل مع الروابط الرمزية، مما يسمح للمستخدم بتصعيد امتيازاته والوصول إلى الملفات المميزة على الخادم.

قائمة الثغرات الأمنية التي تم حلها مأخوذة من موقع OpenNET الإلكتروني: https://www.opennet.ru/opennews/art.shtml?num=62557

تغييرات أخرى في الإصدار الجديد:

  • config.ac: تم إصلاح فشل التحقق من IPv6 بسبب فقدان نوع الإرجاع.
  • CI: تم نقل تصميم FreeBSD إلى GitHub Actions.
  • تمت إضافة تلميح بأن الخادم الوكيل يمكنه التعامل مع كل من النظام العادي و بروتوكول طبقة المقابس الآمنة (SSL) يتم البث في وقت واحد.
  • تحذير ثابت حول المتغير غير المستخدم.
  • تحديث البوب ​​إلى الإصدار 1.19.
  • الدعم: تمت إضافة البرنامج النصي install_deps_ubuntu.sh.
  • CI: قواعد ثابتة للمشغلات.
  • CI: تجميع إضافي لـ Solaris.
  • تفاصيل مسار رابط Apple Silicon.
  • acls: اكتب المزامنة لـ orig_umask وإزالة تحذيرات التجميع لنظام التشغيل macOS.
  • تم إصلاح التحذيرات المختلفة التي عثر عليها clang-16.
  • rsync: تم تصحيح اسم المعلمة غير الصحيح في دليل SYNOPSIS.
  • تم تقديم PTR_SUB.
  • تمت إضافة القدرة على إجراء فحص الاتصال الأساسي عبر rsync.
  • إذا لم يتم استخدام zlib المدمج، فسيتم استخدام libcrypto.
  • تصحيح لـGC15(-std=gnu23): صب مؤشر الوظيفة الثابتة في qsort().
  • تم تصحيح الأخطاء المطبعية في الدليل.

المصدر: linux.org.ru

إضافة تعليق