Ubuntu ベースのシステムにおける rsync パッケージの重要な更新
Ubuntu、Kubuntu、Lubuntu、Linux Mint などの Ubuntu ベースのオペレーティング システムを実行しているユーザーは、rsync パッケージに更新を速やかに適用するよう求められています。サーバーとクライアントの両方のプラットフォームでリモート コード実行 (RCE) につながる可能性のある複数の脆弱性を修正する最近のパッチがリリースされました。
脆弱性の概要
Canonicalによる詳細な開示の中で、Google のセキュリティ研究者 (Pedro Gallegos、Simon Scannell、Jasiel Spelman) は、rsync サーバーとクライアントに重大な脆弱性があることを確認しました。具体的な脆弱性は次のとおりです。
rsync サーバーの問題 ( CVE-2024-12084およびCVE-2024-12085 ) は、リモート コード実行のリスクをもたらします。一方、クライアントの脆弱性により、侵害されたサーバーが任意のファイルにアクセスしたり ( CVE -2024-12086) 、安全でないシンボリック リンクを作成したり ( CVE-2024-12087 )、特定のシナリオでファイルを上書きしたり ( CVE-2024-12088 )することが可能になります。
さらに、6 番目の脆弱性 ( CVE-2024-12747 ) が Aleksei Gorban によって報告され、rsync サーバーがシンボリックリンクを管理する方法に問題があることが指摘されました。
Canonical のセキュリティ チームは、サポートされているすべての Ubuntu リリースにアップデートを展開し、これらの重大な脆弱性に効果的に対処しました。
システムの更新
Ubuntu 16.04 LTS 以降を使用している場合、無人アップグレード機能はデフォルトで有効になっている可能性があり、セキュリティ更新が 24 時間以内に自動的に適用されます。ただし、この機能を無効にしている場合や別のディストリビューションを操作している場合は、更新マネージャーまたはターミナルを使用してシステムを手動で更新する必要があります。
端末更新手順
ターミナルを使用して完全な更新を実行するには、次のコマンドを入力します。
sudo apt update && sudo apt upgrade
rsync パッケージのみを具体的に更新したいユーザーは、次のコマンドを使用します。
sudo apt update && sudo apt install --only-upgrade rsync
即時更新の重要性
rsync パッケージの更新は優先事項として考慮する必要があります。これらの脆弱性は、サーバー上のデータの整合性を脅かすだけでなく、エンドユーザーのマシンにもリスクをもたらします。攻撃者はこれらの欠陥をリモートから悪用できるため、これらの更新を遅滞なく適用することが緊急に必要となります。
詳細なパッチ情報
次の表は、さまざまな Ubuntu リリースの rsync パッケージの修正バージョンを示しています。
| リリース | パッケージ名 | 修正版 |
|---|---|---|
| トラスティ (14.04 LTS) | rsync | 3.1.0-2ubuntu0.4+esm1 |
| ゼニアル (16.04 LTS) | rsync | 3.1.1-3ubuntu1.3+esm3 |
| バイオニック (18.04 LTS) | rsync | 3.1.2-2.1ubuntu1.6+esm1 |
| フォーカル (20.04 LTS) | rsync | 3.1.3-8ubuntu0.8 |
| ジャミー(22.04 LTS) | rsync | 3.2.7-0ubuntu0.22.04.3 |
| ノーブル(24.04 LTS) | rsync | 3.2.7-1無料1.1 |
| 神託(24.10) | rsync | 修正は利用できません |
更新の検証
パッケージが更新されたかどうかを確認するには、ターミナルで次のコマンドを実行します。
dpkg -l rsync
バージョンが古い場合は、アップデート マネージャーを開いて、利用可能なアップデートがあるかどうかを確認してください。rsync パッケージは通常、多くの Ubuntu ベースのシステムにプリインストールされているため、セキュリティ上の理由から、すべてのユーザーが最新バージョンを使用していることを確認することが不可欠です。
詳細については、こちらのソースをご覧ください。
コメントを残す