公告ID(KYSA-202501-0019)
公告ID:KYSA-202501-0019
公告摘要:rsync安全漏洞
等級:重要
發布日期:2025-01-23
詳細介紹
注:
1. 本公告所涉及的漏洞修復信息知識產權全部歸麒麟軟件有限公司所有,此安全漏洞補丁公告僅適用于麒麟軟件操作系統通用主線產品,定制、OEM等版本可根據需要聯系售后獲取支持。任何媒體、網站或個人轉載使用時不得進行商業性的原版原式的轉載,也不得歪曲和篡改所發布的內容。此聲明以及其修改權、更新權及最終解釋權均歸本網所有。
2. 此安全漏洞補丁公告僅適用于銀河麒麟桌面操作系統V10 SP1、銀河麒麟桌面操作系統(海思麒麟990)V10 SP1、銀河麒麟桌面操作系統(海思麒麟9006c)V10 SP1、銀河麒麟桌面操作系統(HWE)V10 SP1版本,系統版本查詢工具下載鏈接:
https://security-oss.kylinos.cn/Desktop/libkysdk-sysinfo.zip
1. 漏洞概述
CVE-2024-12085
Rsync是一款快速且用途廣泛的文件復制工具。用于遠程文件和本地文件。Rsync存在緩沖區錯誤漏洞,該漏洞源于不當的文件校驗和比較,導致攻擊者能夠操控校驗和值的長度,進而泄露未初始化的堆棧數據。
CVE-2024-12086
Rsync是一款快速且用途廣泛的文件復制工具。用于遠程文件和本地文件。Rsync存在安全漏洞,該漏洞源于不當的校驗和比較,導致服務器能夠通過客戶端響應枚舉客戶端機器上的任意文件內容。
CVE-2024-12087
Rsync是一款快速且用途廣泛的文件復制工具。用于遠程文件和本地文件。Rsync存在安全漏洞,該漏洞源于缺乏適當的符號鏈接驗證和去重檢查,服務器可以將文件寫入客戶端意圖的目的目錄之外的位置。
CVE-2024-12088
Rsync是一款快速且用途廣泛的文件復制工具。用于遠程文件和本地文件。Rsync存在安全漏洞,該漏洞源于未能正確驗證符號鏈接目標是否包含另一個符號鏈接,導致路徑遍歷漏洞,可能會引起任意文件寫入到期望目錄之外。
CVE-2024-12747
Rsync是一款快速且用途廣泛的文件復制工具。用于遠程文件和本地文件。Rsync存在競爭條件問題漏洞,該漏洞源于符號鏈接處理中的競態條件,導致攻擊者能夠繞過默認行為,可能泄露敏感信息或引發權限提升。
2. 受影響的操作系統及軟件包
·銀河麒麟桌面操作系統V10 SP1、銀河麒麟桌面操作系統(海思麒麟990)V10 SP1、銀河麒麟桌面操作系統(海思麒麟9006c)V10 SP1、銀河麒麟桌面操作系統(HWE)V10 SP1
x86_64 架構:
rsync
arm64 架構:
rsync
mips64el 架構:
rsync
loongarch64 架構:
rsync
sw64 架構:
rsync
3. 軟件包修復版本
·銀河麒麟桌面操作系統V10 SP1、銀河麒麟桌面操作系統(海思麒麟990)V10 SP1、銀河麒麟桌面操作系統(海思麒麟9006c)V10 SP1、銀河麒麟桌面操作系統(HWE)V10 SP1
3.1.3-8kylin2k0.1
4. 修復方法
方法一:下載軟件包進行升級安裝
通過附件軟件包地址下載軟件包,使用軟件包升級命令根據受影響的軟件包列表升級相關的組件包。
$sudo apt-get install /Path1/Package1 /Path2/Package2 /Path3/Package3……
注:Path 指軟件包下載到本地的路徑,Package指下載的軟件包名稱,多個軟件包則以空格分開。
5. 軟件包下載地址
軟件包下載鏈接:
https://security-oss.kylinos.cn/Desktop/KYSA-202501-0019/rsync_3.1.3-8kylin2k0.1.zip
注:軟件包僅適用于銀河麒麟桌面操作系統V10 SP1、銀河麒麟桌面操作系統(海思麒麟990)V10 SP1、銀河麒麟桌面操作系統(海思麒麟9006c)V10 SP1、銀河麒麟桌面操作系統(HWE)V10 SP1版本。
6. 修復驗證
使用軟件包查詢命令,查看相關的軟件包版本大于或等于修復版本則成功修復。
$sudo dpkg -l |grep Package
注:Package為軟件包包名。