BDU:2019-04731
ООО «Ред Софт», Сообщество свободного программного обеспечения, Wayne Davison, АО «НТЦ ИТ РОСА», ООО Astra Linux Common Edition, Debian GNU/Linux, РЕД ОС, Rsync, РОСА Кобальт
2017-12-05
Уязвимость демона rsync существует из-за отсутствия проверки имен файлов fnamecmp в структуре данных daemon_filter_list (в функции recv_files в receiver.c) и неприменения механизма защиты sanitize_paths к путям, найденным в строках "xname follows" (в функции read_ndx_and_attrs в rsync.c). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения доступа и оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для rsync: Ообновление до версии старше 3.1.3
Для РЕД ОС: Обновление до версии 7.2 Муром
Для Debian GNU/Linux: https://www.debian.org/security/2017/dsa-4068
Для Astra Linux: Обновление программного обеспечения (пакета rsync) до 3.1.2-1+deb9u1 или более поздней версии
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2553
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2553