基于 Ubuntu 系统的 rsync 软件包的重要更新
运行基于 Ubuntu 的操作系统(包括 Ubuntu、Kubuntu、Lubuntu 和 Linux Mint)的用户应立即更新 rsync 软件包。最近发布的补丁已修复多个漏洞,这些漏洞可能导致服务器和客户端平台上的远程代码执行 (RCE)。
漏洞概述
在Canonical的一份详细披露中,谷歌的安全研究人员(Pedro Gallegos、Simon Scannell 和 Jasiel Spelman)发现了 rsync 服务器和客户端中存在严重漏洞。具体漏洞包括:
rsync 服务器问题(CVE-2024-12084和CVE-2024-12085)存在远程代码执行风险。同时,客户端漏洞使受感染的服务器能够访问任意文件(CVE-2024-12086)、创建不安全的符号链接(CVE-2024-12087),并可能在某些情况下覆盖文件(CVE-2024-12088)。
此外, Aleksei Gorban 报告了第六个漏洞 ( CVE-2024-12747 ),突显了 rsync 服务器管理符号链接的方式存在问题。
Canonical 的安全团队已为所有受支持的 Ubuntu 版本推出了更新,有效解决了这些严重漏洞。
更新您的系统
如果您使用的是 Ubuntu 16.04 LTS 或更高版本,则无人值守升级功能可能默认启用,以确保在 24 小时内自动应用安全更新。但是,如果您已禁用此功能或正在运行其他发行版,则需要通过更新管理器或终端手动更新系统。
终端更新说明
要使用终端执行完整更新,请输入以下命令:
sudo apt update && sudo apt upgrade
对于希望仅更新 rsync 包的用户,请使用以下命令:
sudo apt update && sudo apt install --only-upgrade rsync
立即更新的重要性
更新 rsync 软件包应被视为当务之急。这些漏洞不仅威胁服务器上的数据完整性,还会给最终用户机器带来风险。攻击者可以远程利用这些漏洞,这进一步强调了立即应用这些更新的紧迫性。
详细的补丁信息
下表列出了适用于各个 Ubuntu 版本的 rsync 包的固定版本:
| 发布 | 软件包名称 | 修复版本 |
|---|---|---|
| 值得信赖(14.04 LTS) | 同步 | 3.1.0-2ubuntu0.4+esm1 |
| Xenial(16.04 LTS) | 同步 | 3.1.1-3ubuntu1.3+esm3 |
| 仿生(18.04 LTS) | 同步 | 3.1.2-2.1ubuntu1.6+esm1 |
| Focal(20.04 LTS) | 同步 | 3.1.3-8ubuntu0.8 |
| Jammy (22.04 LTS) | 同步 | 3.2.7-0ubuntu0.22.04.3 |
| 贵族 (24.04 LTS) | 同步 | 3.2.7-1免费1.1 |
| 神谕(24.10) | 同步 | 修复不可用 |
更新验证
要确认你的软件包是否已更新,请在终端中运行以下命令:
dpkg -l rsync
如果您的版本已过时,请打开更新管理器检查可用的更新。rsync 包通常预装在许多基于 Ubuntu 的系统上,因此出于安全原因,所有用户都必须确保他们拥有最新版本。
欲了解更多详细信息,请访问此来源。
发表回复