ProHoster > Blog > tin tức mạng > đồng bộ hóa 3.4.0

đồng bộ hóa 3.4.0

Tiện ích đồng bộ hóa file Rsync đã được cập nhật để loại bỏ 6 lỗ hổng khá nghiêm trọng. Để thực hiện một cuộc tấn công bằng cách sử dụng một số trong số chúng, chỉ cần kết nối ẩn danh đến máy chủ Rsync có quyền truy cập đọc là đủ.

Đã sửa lỗi lỗ hổng:

  • CVE-2024-12084 - ghi vượt quá bộ đệm được phân bổ thông qua việc truyền tổng kiểm tra không chính xác, kích thước của tổng kiểm tra này vượt quá 16 byte.
  • CVE-2024-12085 - rò rỉ nội dung dữ liệu chưa được khởi tạo từ ngăn xếp (mỗi lần một byte) khi thực hiện các thao tác so sánh tổng kiểm tra có kích thước không chính xác.
  • CVE-2024-12086 — lấy được quyền truy cập của máy chủ vào nội dung của các tệp tùy ý từ hệ thống của máy khách thông qua việc tạo ra các mã thông báo và tổng kiểm tra giao tiếp không chính xác của máy chủ trong quá trình sao chép tệp từ máy khách sang máy chủ (xác định từng byte nội dung thông qua lựa chọn tổng kiểm tra).
  • CVE-2024-12087 - vượt ra ngoài thư mục cơ sở khi sử dụng tùy chọn --inc-recursive (được bật theo mặc định cho nhiều cờ). Lỗ hổng này xảy ra do thiếu xác thực thích hợp các liên kết tượng trưng và cho phép các tệp được ghi bên ngoài thư mục đích do khách hàng chỉ định. Máy chủ do kẻ tấn công kiểm soát có thể sử dụng lỗ hổng này để tấn công hệ thống của máy khách được kết nối.
  • CVE-2024-12088 - kiểm tra không chính xác các liên kết tượng trưng trỏ đến các liên kết tượng trưng khác khi sử dụng tùy chọn --safe-links. Sự cố khiến nó có thể vượt ra ngoài thư mục cơ sở và ghi dữ liệu vào bất kỳ tệp nào trên hệ thống, trong chừng mực mà quyền cho phép.
  • CVE-2024-12747 - tình trạng chạy đua khi làm việc với các liên kết tượng trưng, ​​​​cho phép người dùng nâng cao đặc quyền của họ và có quyền truy cập vào các tệp đặc quyền trên máy chủ.

Danh sách các lỗ hổng đã được giải quyết này được lấy từ trang web OpenNET: https://www.opennet.ru/opennews/art.shtml?num=62557

Những thay đổi khác trong phiên bản mới:

  • configure.ac: Đã sửa lỗi kiểm tra IPv6 do thiếu loại trả về.
  • CI: bản dựng cho FreeBSD đã được chuyển sang GitHub Actions.
  • Đã thêm gợi ý rằng proxy có thể xử lý cả các thao tác thông thường và... SSL Phát trực tuyến đồng thời.
  • Đã sửa lỗi cảnh báo về biến không được sử dụng.
  • Đang cập nhật popt lên phiên bản 1.19.
  • Hỗ trợ: đã thêm tập lệnh install_deps_ubuntu.sh.
  • CI: quy tắc cố định cho trình kích hoạt.
  • CI: đã thêm phần lắp ráp cho Solaris.
  • Chi tiết đường dẫn liên kết silicon của Apple.
  • acls: Đồng bộ hóa kiểu cho orig_umask và loại bỏ các cảnh báo biên dịch cho macOS.
  • Đã sửa các cảnh báo khác nhau được tìm thấy bởi clang-16.
  • rrsync: đã sửa tên tham số không chính xác trong hướng dẫn TỔNG HỢP.
  • PTR_SUB được giới thiệu.
  • Đã thêm khả năng thực hiện kiểm tra kết nối cơ bản qua rrsync.
  • Nếu zlib tích hợp không được sử dụng, libcrypto sẽ được sử dụng.
  • Sửa lỗi cho GCC15(-std=gnu23): truyền con trỏ hàm cố định trong qsort().
  • Lỗi chính tả trong hướng dẫn đã được sửa.

Nguồn: linux.org.ru

Thêm một lời nhận xét