ProHoster > blog > habari za mtandao > Usawazishaji 3.4.0

Usawazishaji 3.4.0

Huduma ya kusawazisha faili ya Rsync imesasishwa ili kuondoa udhaifu 6 muhimu sana. Ili kutekeleza shambulio kwa kutumia baadhi yao, muunganisho usiojulikana kwa seva ya Rsync na ufikiaji wa kusoma unatosha.

Udhaifu usiobadilika:

  • CVE-2024-12084 - kuandika zaidi ya buffer iliyotengwa kwa njia ya uhamisho wa hundi isiyo sahihi, ukubwa wa ambayo unazidi byte 16.
  • CVE-2024-12085 - uvujaji wa maudhui ya data ambayo hayajaanzishwa kutoka kwa rafu (baiti moja kwa wakati) wakati wa kufanya shughuli za ulinganishaji wa hundi ya saizi isiyo sahihi.
  • CVE-2024-12086 - kupata ufikiaji wa seva kwa yaliyomo kwenye faili za kiholela kutoka kwa mfumo wa mteja kupitia kizazi cha seva cha ishara zisizo sahihi za mawasiliano na ukaguzi katika mchakato wa kunakili faili kutoka kwa mteja hadi kwa seva (kuamua yaliyomo kwa byte kupitia uteuzi wa hundi).
  • CVE-2024-12087 - kwenda zaidi ya saraka ya msingi wakati wa kutumia --inc-recursive chaguo (imewezeshwa kwa chaguo-msingi kwa bendera nyingi). Athari hii inasababishwa na ukosefu wa uthibitishaji sahihi wa viungo vya ishara na huruhusu faili kuandikwa nje ya saraka lengwa iliyobainishwa na mteja. Seva inayodhibitiwa na mshambulizi inaweza kutumia athari kushambulia mfumo wa mteja aliyeunganishwa.
  • CVE-2024-12088 - ukaguzi usio sahihi wa ulinganifu unaoelekeza kwenye ulinganifu mwingine unapotumia chaguo la --safe-links. Shida inafanya uwezekano wa kwenda zaidi ya saraka ya msingi na kuandika data kwa faili yoyote kwenye mfumo, kadiri ruhusa inavyoruhusu.
  • CVE-2024-12747 - hali ya mbio wakati wa kufanya kazi na viungo vya mfano, kuruhusu mtumiaji kuongeza marupurupu yao na kupata ufikiaji wa faili za upendeleo kwenye seva.

Orodha hii ya udhaifu uliotatuliwa imechukuliwa kutoka kwa tovuti ya OpenNET: https://www.opennet.ru/opennews/art.shtml?num=62557

Mabadiliko mengine katika toleo jipya:

  • configure.ac: Imerekebisha hitilafu ya ukaguzi wa IPv6 kwa sababu ya kukosa aina ya kurejesha.
  • CI: muundo wa FreeBSD umehamishwa hadi Vitendo vya GitHub.
  • Imeongeza kidokezo kwamba proksi inaweza kushughulikia zote mbili za kawaida na SSL mtiririko kwa wakati mmoja.
  • Onyo lisilobadilika kuhusu utofauti usiotumika.
  • Inasasisha popt kwa toleo la 1.19.
  • Msaada: imeongezwa install_deps_ubuntu.sh hati.
  • CI: sheria zisizohamishika za vichochezi.
  • CI: mkusanyiko ulioongezwa kwa Solaris.
  • Maelezo ya njia ya kiunganishi cha silicon ya Apple.
  • acls: Aina ya maingiliano ya orig_umask na kuondoa maonyo ya mkusanyiko wa macOS.
  • Imerekebisha maonyo mbalimbali yaliyopatikana na clang-16.
  • rrsync: ilirekebisha jina la kigezo lisilo sahihi katika mwongozo wa SYNOPSIS.
  • PTR_SUB imeanzishwa.
  • Imeongeza uwezo wa kufanya ukaguzi wa msingi wa muunganisho kupitia rrsync.
  • Ikiwa zlib iliyojengwa haitumiki, libcrypto inatumiwa.
  • Marekebisho ya GCC15(-std=gnu23): utumaji wa kiashiria cha utendakazi kisichobadilika katika qsort().
  • Chapa katika mwongozo zimesahihishwa.

Chanzo: linux.org.ru

Kuongeza maoni