ГлавнаяБаза уязвимостей БДУ → BDU:2025-00377
7.8высокая

BDU:2025-00377 (CVE-2024-12084)

Уязвимость конфигурации --inc-recursive демона rsyncd утилиты для передачи и синхронизации файлов Rsync, позволяющая нарушителю записывать произвольные файлы
Опубликовано: 2025-01-17
Описание

Уязвимость конфигурации --inc-recursive демона rsyncd утилиты для передачи и синхронизации файлов Rsync связана с обходом пути каталога в результате отсутствия проверки символических ссылок в сочетании с проверками дедупликации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записывать произвольные файлы

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПRed Hat OpenShift Container Platform (4)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Astra Linux Common Edition (1.6 «Смоленск»)АЛЬТ СП 10Ubuntu (24.04 LTS)Astra Linux Special Edition (1.8)Rsync (до 3.4.0)ROSA Virtualization 3.0 (3.0)МСВСфера (9.5)
Способ устранения

Использование рекомендаций:
Для Rsync:
https://git.samba.org/?p=rsync.git;a=commit;h=344327385fa47fa5bb67a32c237735e6240cfb93
https://git.samba.org/?p=rsync.git;a=commit;h=688f5c379a433038bde36897a156d589be373a98
https://github.com/RsyncProject/rsync/releases/tag/v3.4.0
https://rsync.samba.org/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-12087

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-12087

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-12087

Для ОС АЛЬТ 8 СП (Релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет rsync до 3.2.7-1+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2818

Для ОС Astra Linux:
обновить пакет rsync до 3.1.3-6+deb10u2.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет rsync до 3.1.3-6+deb10u2.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:7050?lang=ru

Для ОС Astra Linux:
обновить пакет rsync до 3.1.2-1+deb9u5.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.cyberciti.biz/linux-news/cve-2024-12084-rsyn-security-urgent-update-needed-on-unix-bsd-systems/https://security-tracker.debian.org/tracker/CVE-2024-12087https://ubuntu.com/security/CVE-2024-12087https://access.redhat.com/security/cve/CVE-2024-12087https://www.openwall.com/lists/oss-security/2025/01/14/3https://bugzilla.redhat.com/show_bug.cgi?id=2330672https://kb.cert.org/vuls/id/952657https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена