ГлавнаяБаза уязвимостей БДУ → BDU:2019-04731
10критическая

BDU:2019-04731 (CVE-2017-17434)

Уязвимость функций recv_files и read_ndx_and_attrs демона rsync, позволяющая нарушителю обойти существующие ограничения доступа и оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2019-12-17
Описание

Уязвимость демона rsync существует из-за отсутствия проверки имен файлов fnamecmp в структуре данных daemon_filter_list (в функции recv_files в receiver.c) и неприменения механизма защиты sanitize_paths к путям, найденным в строках "xname follows" (в функции read_ndx_and_attrs в rsync.c). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения доступа и оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)РЕД ОС (7.1 МУРОМ)Rsync (от 3.1.2 до 3.1.3)РОСА Кобальт (7.9)
Способ устранения

Использование рекомендаций:
Для rsync:
Ообновление до версии старше 3.1.3

Для РЕД ОС:
Обновление до версии 7.2 Муром

Для Debian GNU/Linux:
https://www.debian.org/security/2017/dsa-4068

Для Astra Linux:
Обновление программного обеспечения (пакета rsync) до 3.1.2-1+deb9u1 или более поздней версии

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2553

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2553

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2017-17434https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17434https://www.debian.org/security/2017/dsa-4068https://www.suse.com/security/cve/CVE-2017-17434/https://abf.rosa.ru/advisories/ROSA-SA-2025-2553https://abf.rosa.ru/advisories/ROSA-SA-2025-2553
Проверьте безопасность своего сайта и почты → Полная проверка домена