Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00374

Опубликовано: 23 нояб. 2024
Источник: fstec
CVSS3: 6.1
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость демона rsyncd утилиты для передачи и синхронизации файлов Rsync связана с генерацией недействительных токенов и контрольных сумм в процессе копирования. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Canonical Ltd.
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «ИВК»
ООО «РусБИТех-Астра»
Wayne Davison

Наименование ПО

Ubuntu
Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
Альт 8 СП
Red Hat OpenShift Container Platform
АЛЬТ СП 10
Astra Linux Special Edition
Rsync

Версия ПО

16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
8 (Red Hat Enterprise Linux)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
- (Альт 8 СП)
4 (Red Hat OpenShift Container Platform)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
- (АЛЬТ СП 10)
24.04 LTS (Ubuntu)
1.8 (Astra Linux Special Edition)
24.10 (Ubuntu)
до 3.4.0 (Rsync)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
АО «ИВК» АЛЬТ СП 10 -
Canonical Ltd. Ubuntu 24.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Canonical Ltd. Ubuntu 24.10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Rsync:
https://git.samba.org/?p=rsync.git;a=commit;h=8ad4b5d912fad1df29717dddaa775724da77d299
https://git.samba.org/?p=rsync.git;a=commit;h=b4a27ca25d0abb6fcf14f41b7e11f3a6e1d8a4ff
https://git.samba.org/?p=rsync.git;a=commit;h=c35e28331f10ba6eba370611abd78bde32d54da7
https://git.samba.org/?p=rsync.git;a=commit;h=9f86ddc9652247233f32b241a79d5aa4fb9d4afa
https://github.com/RsyncProject/rsync/releases/tag/v3.4.0
https://rsync.samba.org/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-12086
Для Ubuntu:
https://ubuntu.com/security/CVE-2024-12086
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-12086
Для ОС АЛЬТ 8 СП (Релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет rsync до 3.2.7-1+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 39%
0.00172
Низкий

6.1 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

CVSS3: 9.8
redos
6 месяцев назад

Множественные уязвимости rsync

CVSS3: 6.1
ubuntu
7 месяцев назад

A flaw was found in rsync. It could allow a server to enumerate the contents of an arbitrary file from the client's machine. This issue occurs when files are being copied from a client to a server. During this process, the rsync server will send checksums of local data to the client to compare with in order to determine what data needs to be sent to the server. By sending specially constructed checksum values for arbitrary files, an attacker may be able to reconstruct the data of those files byte-by-byte based on the responses from the client.

CVSS3: 6.1
redhat
7 месяцев назад

A flaw was found in rsync. It could allow a server to enumerate the contents of an arbitrary file from the client's machine. This issue occurs when files are being copied from a client to a server. During this process, the rsync server will send checksums of local data to the client to compare with in order to determine what data needs to be sent to the server. By sending specially constructed checksum values for arbitrary files, an attacker may be able to reconstruct the data of those files byte-by-byte based on the responses from the client.

CVSS3: 6.1
nvd
7 месяцев назад

A flaw was found in rsync. It could allow a server to enumerate the contents of an arbitrary file from the client's machine. This issue occurs when files are being copied from a client to a server. During this process, the rsync server will send checksums of local data to the client to compare with in order to determine what data needs to be sent to the server. By sending specially constructed checksum values for arbitrary files, an attacker may be able to reconstruct the data of those files byte-by-byte based on the responses from the client.

CVSS3: 6.8
msrc
7 месяцев назад

Описание отсутствует

EPSS

Процентиль: 39%
0.00172
Низкий

6.1 Medium

CVSS3

5.4 Medium

CVSS2