现在正在做什么吗?哦,你正在读这篇文章——赞赏– 但是一旦你完成了就去安装1待更新至同步,本周推送到所有受支持的 Ubuntu 桌面和服务器版本。
同步是一个预装在所有版本和风格的 Ubuntu 中的命令行工具。它用于在本地或远程位置之间进行数据高效的文件复制和同步。
你可能不会(故意)使用它(它不是 GUI 应用程序)那里,在您的系统上。
而事实是那里很重要。
本周,谷歌的安全研究人员披露了 Ubuntu rsync 软件包中的主要漏洞,这些漏洞影响其服务器和客户端组件,如果不修补这些漏洞,这些漏洞可能会被恶意利用。
rsync 守护进程中存在两个漏洞(CVE-2024-12084&CVE-2024-12085)允许远程代码执行,而客户端中的三个缺陷可能允许恶意服务器读取文件,创建不安全的符号链接和可能会覆盖文件– 不好。
突出问题,规范说第六个漏洞(CVE-2024-12747)是在对其他漏洞进行“协调漏洞响应”期间发现的,后者影响了 rsync 服务器处理符号链接的方式。
Ubuntu Server 用户应该付出额外的努力来检查是否已应用相关更新,因为服务器可能是处理重要或敏感数据的关键任务基础设施。
Canonical 的安全团队本周向所有受支持的 Ubuntu 版本推出了 rsync 的修补版本。如果您的系统上没有启用无人值守升级,您应该检查是否已安装更新,如果没有安装它。
不包含任何新功能;这是将较新版本的 Rsync 向后移植到较旧版本,只是将补丁应用于每个相应 Ubuntu 版本中附带的版本。
您可以通过运行以下命令手动检查 Ubuntu 中安装了哪个版本的 rsync 版本:
dpkg -l rsync
从显示的输出中,根据修补版本检查版本号在 Launchpad 上列出或者,为了方便起见,通过此表:
| Ubuntu 14.04 LTS(可信) | 3.1.0-2ubuntu0.4+esm1 |
| Ubuntu 16.04 LTS(Xenial) | 3.1.1-3ubuntu1.3+esm3 |
| Ubuntu 18.04 LTS(仿生) | 3.1.2-2.1ubuntu1.6+esm1 |
| Ubuntu 20.04 LTS(焦点) | 3.1.3-8ubuntu0.8 |
| Ubuntu 22.04 LTS(杰米) | 3.2.7-0ubuntu0.22.04.3 |
| Ubuntu 24.04 LTS(高贵) | 3.2.7-1免费1.1 |
如果安装了旧版本,则在更新之前您将面临风险。
跑步sudo apt update检查最新的可用更新,然后运行sudo apt upgrade下载并应用它们。
在 Ubuntu Server 上,并不总是需要安装所有更新。跑步sudo apt install --only-upgrade rsync仅升级 Rsync。
无论您不这样做,都不要推迟此更新,因为它不是其中之一“......如果有人在您未锁定机器的情况下本地访问您的机器,那么这只是一个缺陷”类型缺陷——积极主动!
- 如果您没有启用无人值守升级,那就是这样。如果不这样做,请考虑启用它,因为这意味着会自动下载并应用像这样的安全修复程序。↩︎
