ProHoster > בלוג > חדשות באינטרנט > rsync 3.4.0

rsync 3.4.0

תוכנית השירות לסנכרון קבצי Rsync עודכנה כדי לחסל 6 נקודות תורפה קריטיות למדי. כדי לבצע תקיפה באמצעות חלק מהם, מספיק חיבור אנונימי לשרת Rsync עם גישת קריאה.

פגיעויות מתוקנות:

  • CVE-2024-12084 - כתיבה מעבר למאגר המוקצה באמצעות שידור של סכום ביקורת שגוי, שגודלו עולה על 16 בתים.
  • CVE-2024-12085 - דליפה של תוכן נתונים לא מאותחל מהמחסנית (בייט אחד בכל פעם) בעת ביצוע פעולות השוואת סכום ביקורת בגודל שגוי.
  • CVE-2024-12086 - השגת גישת שרת לתוכן של קבצים שרירותיים ממערכת הלקוח באמצעות יצירת אסימוני תקשורת וסכימי בדיקה שגויים על ידי השרת בתהליך העתקת הקבצים מהלקוח לשרת (קביעת התוכן בייט אחר בייט באמצעות בחירת checksum).
  • CVE-2024-12087 - מעבר לספריית הבסיס בעת שימוש באפשרות --inc-recursive (מופעלת כברירת מחדל עבור דגלים רבים). הפגיעות נגרמת מחוסר אימות תקין של קישורים סמליים ומאפשרת לכתוב קבצים מחוץ לספריית היעד שצוינה על ידי הלקוח. שרת הנשלט על ידי תוקף יכול להשתמש בפגיעות כדי לתקוף את המערכת של לקוח מחובר.
  • CVE-2024-12088 - בדיקה שגויה של סימלינקים המצביעים על סימלינקים אחרים בעת שימוש באפשרות --safe-links. הבעיה מאפשרת לעבור את ספריית הבסיס ולכתוב נתונים לכל קובץ במערכת, ככל שההרשאות מאפשרות.
  • CVE-2024-12747 - מצב גזע בעת עבודה עם קישורים סמליים, המאפשר למשתמש להסלים את ההרשאות שלו ולקבל גישה לקבצים מורשים בשרת.

רשימה זו של פגיעויות שנפתרו נלקחה מאתר OpenNET: https://www.opennet.ru/opennews/art.shtml?num=62557

שינויים נוספים בגרסה החדשה:

  • configure.ac: תוקן כישלון בדיקת IPv6 עקב סוג החזרה חסר.
  • CI: ה-build עבור FreeBSD הועבר ל-GitHub Actions.
  • נוסף רמז לכך שהפרוקסי יכול להתמודד גם עם רגיל וגם SSL להזרים בו זמנית.
  • אזהרה מתוקנת לגבי משתנה שאינו בשימוש.
  • מעדכן את popt לגרסה 1.19.
  • תמיכה: נוסף סקריפט install_deps_ubuntu.sh.
  • CI: כללים קבועים לטריגרים.
  • CI: הוספת הרכבה עבור Solaris.
  • פרטי נתיב מקשר סיליקון של אפל.
  • acls: סוג סנכרון עבור orig_umask וביטול אזהרות קומפילציה עבור macOS.
  • תוקן אזהרות שונות שנמצאו על ידי clang-16.
  • rrsync: שם פרמטר שגוי תוקן במדריך SYNOPSIS.
  • PTR_SUB הוצג.
  • נוספה את היכולת לבצע בדיקת חיבור בסיסית באמצעות rrsync.
  • אם לא נעשה שימוש ב-zlib המובנה, נעשה שימוש ב-libcrypto.
  • תיקון עבור GCC15(-std=gnu23): יציקת מצביע פונקציה קבועה ב-qsort().
  • שגיאות הקלדה במדריך תוקנו.

מקור: linux.org.ru

הוספת תגובה