基於 Ubuntu 的系統上 rsync 軟體包的重要更新
我們敦促運行基於 Ubuntu 的作業系統(包括 Ubuntu、Kubuntu、Lubuntu 和 Linux Mint)的用戶立即對 rsync 軟體包套用更新。最近發布的修補程式修復了多個可能導致伺服器和客戶端平台上遠端程式碼執行 (RCE) 的漏洞。
漏洞概述
在Canonical的詳細揭露中,Google 的安全研究人員(Pedro Gallegos、Simon Scannell 和 Jasiel Spelman)發現了 rsync 伺服器和客戶端中的重大漏洞。具體漏洞包括:
rsync 伺服器問題(CVE-2024-12084和CVE-2024-12085)有遠端執行程式碼的風險。同時,客戶端漏洞使受感染的伺服器能夠存取任意檔案 ( CVE-2024-12086 )、建立不安全的符號連結 ( CVE-2024-12087 ),並可能在某些情況下覆蓋檔案 ( CVE-2024- 12088 )。
此外, Aleksei Gorban 報告了第六個漏洞 ( CVE-2024-12747 ),突顯了 rsync 伺服器管理符號連結的問題。
Canonical 的安全團隊已針對所有受支援的 Ubuntu 版本推出了更新,有效解決了這些關鍵漏洞。
更新您的系統
如果您使用的是 Ubuntu 16.04 LTS 或更高版本,則預設可能會啟用無人值守升級功能,以確保在 24 小時內自動套用安全性更新。但是,如果您已停用此功能或正在執行不同的發行版,則需要透過更新管理器或終端手動更新系統。
終端更新說明
若要使用終端機執行完整更新,請輸入以下命令:
sudo apt update && sudo apt upgrade
對於希望僅更新 rsync 套件的用戶,請使用下列命令:
sudo apt update && sudo apt install --only-upgrade rsync
立即更新的重要性
應優先考慮更新 rsync 套件。這些漏洞不僅威脅伺服器上的資料完整性,也為最終用戶電腦帶來風險。攻擊者可以遠端利用這些缺陷,這進一步強調了立即應用這些更新的緊迫性。
詳細補丁信息
下表列出了各個 Ubuntu 版本的 rsync 軟體包的固定版本:
| 發布 | 封裝名稱 | 固定版本 |
|---|---|---|
| 值得信賴 (14.04 LTS) | 同步 | 3.1.0-2ubuntu0.4+esm1 |
| 賽尼爾 (16.04 LTS) | 同步 | 3.1.1-3ubuntu1.3+esm3 |
| 仿生 (18.04 LTS) | 同步 | 3.1.2-2.1ubuntu1.6+esm1 |
| 焦點(20.04 LTS) | 同步 | 3.1.3-8ubuntu0.8 |
| 傑米 (22.04 LTS) | 同步 | 3.2.7-0ubuntu0.22.04.3 |
| 高貴 (24.04 LTS) | 同步 | 3.2.7-1免費1.1 |
| 神諭 (24.10) | 同步 | 修復不可用 |
更新驗證
若要確認您的軟體包是否已更新,請在終端機中執行以下命令:
dpkg -l rsync
如果您的版本已過時,請開啟更新管理器以檢查可用的更新。 rsync 軟體包通常預先安裝在許多基於 Ubuntu 的系統上,因此出於安全原因,所有使用者都必須確保他們擁有最新版本。
有關更多詳細信息,請訪問此來源。
發佈留言