如果你运行的是基于 Ubuntu 的操作系统,如 Ubuntu、Kubuntu、Lubuntu,甚至是 Linux Mint,你确实需要应用可用的更新来修补 rsync 软件包。修复程序刚刚发布,以解决大量允许远程代码执行并影响服务器和客户端机器的漏洞。
Canonical 在强调这些问题时表示:
Google 的安全研究人员(Pedro Gallegos、Simon Scannell 和 Jasiel Spelman)在 rsync 服务器和 rsync 客户端中发现了漏洞。rsync 服务器漏洞(CVE-2024-12084 和 CVE-2024-12085)最终允许远程代码执行 (RCE)。rsync 客户端漏洞允许恶意服务器读取任意文件 (CVE-2024-12086)、创建不安全的符号链接 (CVE-2024-12087) 并在某些情况下覆盖任意文件 (CVE-2024-12088)。
在对上述问题的协同漏洞响应期间,Aleksei Gordan 报告了第六个漏洞 (CVE-2024-12747),该漏洞影响了 rsync 服务器处理符号链接的方式。
Canonical 的安全团队已为所有受支持的 Ubuntu 版本发布了 rsync 软件包的更新。这些更新修复了 CVE-2024-12084、CVE-2024-12085、CVE-2024-12086、CVE-2024-12087、CVE-2024-12088 和 CVE-2024-12747。有关受影响版本的信息,请参阅上面链接的 CVE 页面。
如果你使用的是 Ubuntu 16.04 LTS 或更高版本,默认情况下会启用 “无人值守升级” 功能,这意味着这些安全更新会在可用后 24 小时内应用。如果你关闭了这一功能,或者使用的是其他发行版,那么你可能需要自己通过更新管理器或终端获取更新。
要通过终端更新,请输入以下命令,并在要求时输入密码:
sudo apt update && sudo apt upgrade
如果无法升级所有软件包,只想更新 rsync,可以使用以下命令:
sudo apt update && sudo apt install --only-upgrade rsync
如果你想知道现在是否真的需要更新 rsync 软件包,答案是肯定的,你应该尽快更新。它既会影响服务器,也会影响终端用户电脑,而且都可以远程完成。
每个 Ubuntu 版本的固定软件包如下:
| Release | Package Name | Fixed Version |
|---|---|---|
| Trusty (14.04 LTS) | rsync | 3.1.0-2ubuntu0.4+esm1 |
| Xenial (16.04 LTS) | rsync | 3.1.1-3ubuntu1.3+esm3 |
| Bionic (18.04 LTS) | rsync | 3.1.2-2.1ubuntu1.6+esm1 |
| Focal (20.04 LTS) | rsync | 3.1.3-8ubuntu0.8 |
| Jammy (22.04 LTS) | rsync | 3.2.7-0ubuntu0.22.04.3 |
| Noble (24.04 LTS) | rsync | 3.2.7-1ubuntu1.1 |
| Oracular (24.10) | rsync | fix not available |
你可以打开终端并运行,检查是否有更新的软件包。如果版本较低,请打开更新管理器查看是否有更新。大多数基于 Ubuntu 的系统都预装了这个软件包,因此每个人都有必要检查自己是否更新了软件包。(dpkg -l rsync)
![[WIN] ShareX v17.0 便携版](https://www.pcsofter.com/wp-content/uploads/2022/07/202306160928499.jpg)
