Уязвимость демона rsync существует из-за отсутствия проверки имен файлов fnamecmp в структуре данных daemon_filter_list (в функции recv_files в receiver.c) и неприменения механизма защиты sanitize_paths к путям, найденным в строках "xname follows" (в функции read_ndx_and_attrs в rsync.c). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения доступа и оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Использование рекомендаций:
Для rsync:
Ообновление до версии старше 3.1.3
Для РЕД ОС:
Обновление до версии 7.2 Муром
Для Debian GNU/Linux:
https://www.debian.org/security/2017/dsa-4068
Для Astra Linux:
Обновление программного обеспечения (пакета rsync) до 3.1.2-1+deb9u1 или более поздней версии
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2553
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2553
| Балл | 10 — критическая опасность |