漏洞信息详情

rsync 安全漏洞

• CNNVD编号：CNNVD-201711-203
• 危害等级： 超危
  
• CVE编号： CVE-2017-16548
• 漏洞类型： 缓冲区错误
• 发布时间： 2017-11-08
• 威胁类型： 远程
• 更新时间： 2019-10-23
• 厂        商： samba
• 漏洞来源：

漏洞简介

rsync是澳大利亚软件开发者安德鲁-垂鸠（Andrew Tridgell）和保罗-麦可拉斯（Paul Mackerras）共同研发的一套用于类Unix系统中的数据镜像备份应用程序，它能够同步更新两处计算机的文件与目录，并利用差分编码减少数据传输。

rsync 3.1.2版本和3.1.3-development版本中的xattrs.c文件的‘receive_xattr’函数存在安全漏洞。远程攻击者可通过向守护进程发送特制的数据利用该漏洞造成拒绝服务（基于堆的缓冲区越边界读取和应用程序崩溃）。

漏洞公告

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://bugzilla.samba.org/show_bug.cgi?id=13112

参考网址

来源:CONFIRM

链接:https://git.samba.org/rsync.git/?p=rsync.git;a=commit;h=47a63d90e71d3e19e0e96052bb8c6b9cb140ecc1

来源:MLIST

链接:https://lists.debian.org/debian-lts-announce/2017/12/msg00020.HTML

来源:CONFIRM

链接:https://bugzilla.samba.org/show_bug.cgi?id=13112

来源:UBUNTU

链接:https://usn.ubuntu.com/3543-1/

来源:UBUNTU

链接:https://usn.ubuntu.com/3543-2/

来源:DEBIAN

链接:https://www.debian.org/security/2017/dsa-4068

受影响实体

• Samba Rsync:3.1.3:Pre1  
• Samba Rsync:3.1.2  

补丁

• rsync 安全漏洞的修复措施