Krytyczne aktualizacje pakietu rsync w systemach opartych na Ubuntu
Użytkownicy systemów operacyjnych opartych na Ubuntu — w tym Ubuntu, Kubuntu, Lubuntu i Linux Mint — są wzywani do niezwłocznego zastosowania aktualizacji pakietu rsync. Ostatnio wydano poprawki w celu naprawienia wielu luk, które mogą prowadzić do zdalnego wykonania kodu (RCE) zarówno na platformach serwerowych, jak i klienckich.
Przegląd luk w zabezpieczeniach
W szczegółowym ujawnieniu Canonical , badacze bezpieczeństwa z Google (Pedro Gallegos, Simon Scannell i Jasiel Spelman) zidentyfikowali znaczące luki w zabezpieczeniach serwera i klienta rsync. Konkretne luki obejmują:
Problemy z serwerem rsync ( CVE-2024-12084 i CVE-2024-12085 ) stwarzają ryzyko zdalnego wykonania kodu. Tymczasem luki w zabezpieczeniach klienta umożliwiają przejętemu serwerowi dostęp do dowolnych plików ( CVE-2024-12086 ), tworzenie niebezpiecznych dowiązań symbolicznych ( CVE-2024-12087 ) i potencjalne nadpisywanie plików w niektórych scenariuszach ( CVE-2024-12088 ).
Dodatkowo Aleksiej Gorban zgłosił szóstą lukę w zabezpieczeniach ( CVE-2024-12747 ), która uwypukla problemy ze sposobem, w jaki serwer rsync zarządza dowiązaniami symbolicznymi.
Zespół ds. bezpieczeństwa firmy Canonical udostępnił aktualizacje dla wszystkich obsługiwanych wersji Ubuntu, skutecznie eliminując te krytyczne luki w zabezpieczeniach.
Aktualizowanie systemu
Jeśli używasz Ubuntu 16.04 LTS lub nowszego, funkcja unattended-upgrades jest prawdopodobnie domyślnie włączona, co zapewnia automatyczne stosowanie aktualizacji zabezpieczeń w ciągu 24 godzin. Jeśli jednak wyłączyłeś tę funkcję lub używasz innej dystrybucji, będziesz musiał ręcznie zaktualizować system za pomocą menedżera aktualizacji lub terminala.
Instrukcje aktualizacji terminala
Aby wykonać pełną aktualizację za pomocą terminala, wprowadź następujące polecenie:
sudo apt update && sudo apt upgrade
Użytkownicy chcący zaktualizować wyłącznie pakiet rsync powinni użyć następującego polecenia:
sudo apt update && sudo apt install --only-upgrade rsync
Znaczenie natychmiastowych aktualizacji
Aktualizacja pakietu rsync powinna być traktowana priorytetowo. Te luki nie tylko zagrażają integralności danych na serwerach, ale również stanowią ryzyko dla maszyn użytkowników końcowych. Atakujący mogą wykorzystywać te luki zdalnie, co dodatkowo podkreśla pilność stosowania tych aktualizacji bez opóźnień.
Szczegółowe informacje o poprawce
Poniższa tabela zawiera listę poprawiono wersji pakietu rsync dla różnych wydań Ubuntu:
| Uwolnienie | Nazwa pakietu | Wersja stała |
|---|---|---|
| Zaufany (14.04 LTS) | rsync | 3.1.0-2ubuntu0.4+esm1 |
| Xenial (16.04 LTS) | rsync | 3.1.1-3ubuntu1.3+esm3 |
| Bioniczny (18.04 LTS) | rsync | 3.1.2-2.1ubuntu1.6+esm1 |
| Ogniskowy (20,04 LTS) | rsync | 3.1.3-8ubuntu0.8 |
| Dżem (22.04 LTS) | rsync | 3.2.7-0ubuntu0.22.04.3 |
| Szlachetny (24.04 LTS) | rsync | 3.2.7-1bezpłatny 1.1 |
| Wyrocznia (24.10) | rsync | poprawka niedostępna |
Weryfikacja aktualizacji
Aby sprawdzić, czy pakiet został zaktualizowany, uruchom następujące polecenie w terminalu:
dpkg -l rsync
Jeśli Twoja wersja jest nieaktualna, otwórz menedżera aktualizacji, aby sprawdzić, czy są dostępne aktualizacje. Pakiet rsync jest zazwyczaj preinstalowany w wielu systemach opartych na Ubuntu, co sprawia, że dla wszystkich użytkowników ważne jest, aby mieć najnowszą wersję ze względów bezpieczeństwa.
Więcej szczegółów znajdziesz w tym źródle .
Powiązane artykuły:
Bing wykorzystuje swoją wyjątkową tożsamość jako wyszukiwarka, jednocześnie starając się utrzymać zaangażowanie użytkowników
18:49
Pobierz instalator offline przeglądarki Google Chrome 132.0.6834.84
4:57
Rosja nakłada karę na Google: Najnowsze wydarzenia
15:32
Dodaj komentarz