Haavoittuvuus4/2025CVSS 9.8CVE-2024-12084 (Ulkoinen linkki)
Rsync-palvelussa on julkaistu kriittinen haavoittuvuus. Pinonylivuotohaavoittuvuus (CVE-2024-12084) antaa hyökkääjille mahdollisuuden suorittaa mielivaltaista koodia kohdepalvelussa. Päivitä rsync välittömästi.
Haavoittuvuuden kohde
Rsync versio 3.3.0 ja sitä vanhemmat versiot.
Mistä on kysymys?
Rsync on tiedostojen synkronointiin tarkoitettu avoimen lähdekoodin työkalu. Sen palvelutoteutuksesta on julkaistu kuusi eri haavoittuvuutta. Kriittisin haavoittuvuksista CVE-2024-12084 mahdollistaa hyökkääjälle mielivaltaisen koodin suorittamisen kohdepalvelimella. Haavoittuvuus ei vaikuta rsync-asiakassovellukseen.
Rsync-projekti julkaisi korjauksia myös muihin palvelintoteutuksen haavoittuvuuksiin:
CVE-2024-12085
CVE-2024-12747
CVE-2024-12086
CVE-2024-12087
CVE-2024-12088
CVE-2024-12747
Haavoittuvuutta ei tiettävästi ole vielä hyväksikäytetty eikä siihen ole julkaistu hyväksikäyttökoodia.
Mitä voin tehdä?
Päivitä haavoittuva ohjelmisto valmistajan ohjeiden mukaisesti. Linux-jakeluiden käyttäjille suositeltu tapa on käyttää ohjelmistojakelijan julkaisemaa korjattua versiota.
CERT/CC:n artikkeli: Linkki (Ulkoinen linkki)
Rsync Release Note: Linkki (Ulkoinen linkki) (Ulkoinen linkki)