Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00376

Опубликовано: 14 нояб. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость демона rsyncd утилиты для передачи и синхронизации файлов Rsync связана с выходом операции за границы буфера в памяти в результате некорректного сравнения контрольных сумм файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти механизм защиты ASLR и получить несанкционированный доступ к защищаемой информации

Вендор

Red Hat Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «ИВК»
АО «НТЦ ИТ РОСА»
ООО «РусБИТех-Астра»
Wayne Davison

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
Debian GNU/Linux
РЕД ОС
Альт 8 СП
Red Hat OpenShift Container Platform
РОСА Кобальт
ROSA Virtualization
АЛЬТ СП 10
Astra Linux Special Edition
Rsync
ROSA Virtualization 3.0

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
8 (Red Hat Enterprise Linux)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
- (Альт 8 СП)
4 (Red Hat OpenShift Container Platform)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
7.9 (РОСА Кобальт)
2.1 (ROSA Virtualization)
- (АЛЬТ СП 10)
24.04 LTS (Ubuntu)
1.8 (Astra Linux Special Edition)
24.10 (Ubuntu)
до 3.4.0 (Rsync)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «ИВК» АЛЬТ СП 10 -
Canonical Ltd. Ubuntu 24.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Canonical Ltd. Ubuntu 24.10
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Rsync:
https://git.samba.org/?p=rsync.git;a=commit;h=589b0691e59f761ccb05ddb8e1124991440db2c7
https://github.com/RsyncProject/rsync/releases/tag/v3.4.0
https://rsync.samba.org/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-12085
Для Ubuntu:
https://ubuntu.com/security/CVE-2024-12085
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-12085
Для ОС АЛЬТ 8 СП (Релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2757
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2763
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2766
Для ОС Astra Linux:
обновить пакет rsync до 3.2.7-1+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 78%
0.01184
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20250203-04

CVSS3: 9.8
redos
5 месяцев назад

Множественные уязвимости rsync

ubuntu логотип

CVE-2024-12085

CVSS3: 7.5
ubuntu
5 месяцев назад

A flaw was found in rsync which could be triggered when rsync compares file checksums. This flaw allows an attacker to manipulate the checksum length (s2length) to cause a comparison between a checksum and uninitialized memory and leak one byte of uninitialized stack data at a time.

redhat логотип

CVE-2024-12085

CVSS3: 7.5
redhat
5 месяцев назад

A flaw was found in rsync which could be triggered when rsync compares file checksums. This flaw allows an attacker to manipulate the checksum length (s2length) to cause a comparison between a checksum and uninitialized memory and leak one byte of uninitialized stack data at a time.

nvd логотип

CVE-2024-12085

CVSS3: 7.5
nvd
5 месяцев назад

A flaw was found in rsync which could be triggered when rsync compares file checksums. This flaw allows an attacker to manipulate the checksum length (s2length) to cause a comparison between a checksum and uninitialized memory and leak one byte of uninitialized stack data at a time.

msrc логотип

CVE-2024-12085

CVSS3: 7.5
msrc
5 месяцев назад

Описание отсутствует

EPSS

Процентиль: 78%
0.01184
Низкий

7.5 High

CVSS3

7.8 High

CVSS2