Debian DLA-1725-1:rsync 安全更新

critical Nessus 插件 ID 123019
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Debian 主机缺少安全更新。

描述

Trail of Bits 使用了为 DARPA 网络大挑战而开发的自动化漏洞发现工具来审核 zlib。由于快速、多功能、远程(和本地)文件复制工具 rsync 使用了嵌入式的 zlib 副本,因此这些问题也会出现在 rsync 中。CVE-2016-9840 为避免未定义的行为,请删除偏移指针优化,因为这不符合 C 语言标准。CVE-2016-9841 仅使用后增量,以符合 C 语言标准。CVE-2016-9842 为避免未定义的行为,请勿转变负值,因为这不符合 C 语言标准。CVE-2016-9843 为避免未定义的行为,请务对 big-endian CRC 计算中的指针进行前减量,因为这不符合 C 语言标准。CVE-2018-5764 通过忽略客户端已发送的 --protect-args,防止远程攻击者绕过参数清理保护机制。对于 Debian 8“Jessie”,这些问题已在 3.1:1-3+deb8u2 版本中修复。建议您升级 rsync 程序包。注意:Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下,尽可能进行自动整理和排版。

解决方案

升级受影响的 rsync 程序包。

另见

https://lists.debian.org/debian-lts-announce/2019/03/msg00027.html

https://packages.debian.org/source/jessie/rsync

插件详情

严重性: Critical

ID: 123019

文件名: debian_DLA-1725.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2019/3/25

最近更新时间: 2021/1/11

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:rsync, cpe:/o:debian:debian_linux:8.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2019/3/24

漏洞发布日期: 2017/5/23

参考资料信息

CVE: CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843, CVE-2018-5764