現在正在做什麼嗎?哦,你正在讀這篇文章——讚賞– 但是一旦你完成了就去安裝1待更新至同步,本週推送到所有受支持的 Ubuntu 桌面和服務器版本。
同步是一個預裝在所有版本和風格的 Ubuntu 中的命令行工具。它用於在本地或遠程位置之間進行數據高效的文件複製和同步。
你可能不會(故意)使用它(它不是 GUI 應用程序)那裡,在您的系統上。
而事實是那裡很重要。
本週,谷歌的安全研究人員披露了 Ubuntu rsync 軟件包中的主要漏洞,這些漏洞影響其服務器和客戶端組件,如果不修補這些漏洞,這些漏洞可能會被惡意利用。
rsync 守護進程中存在兩個漏洞(CVE-2024-12084&CVE-2024-12085)允許遠程代碼執行,而客戶端中的三個缺陷可能允許惡意服務器讀取文件,創建不安全的符號鏈接和可能會覆蓋文件– 不好。
突出問題,規範說第六個漏洞(CVE-2024-12747)是在對其他漏洞進行“協調漏洞響應”期間發現的,後者影響了 rsync 服務器處理符號鏈接的方式。
Ubuntu Server 用戶應該付出額外的努力來檢查是否已應用相關更新,因為服務器可能是處理重要或敏感數據的關鍵任務基礎設施。
Canonical 的安全團隊本周向所有受支持的 Ubuntu 版本推出了 rsync 的修補版本。如果您的系統上沒有啟用無人值守升級,您應該檢查是否已安裝更新,如果沒有安裝它。
不包含任何新功能;這是將較新版本的 Rsync 向後移植到較舊版本,只是將補丁應用於每個相應 Ubuntu 版本中附帶的版本。
您可以通過運行以下命令手動檢查 Ubuntu 中安裝了哪個版本的 rsync 版本:
dpkg -l rsync
從顯示的輸出中,根據修補版本檢查版本號在 Launchpad 上列出或者,為了方便起見,通過此表:
| Ubuntu 14.04 LTS(可信) | 3.1.0-2ubuntu0.4+esm1 |
| Ubuntu 16.04 LTS(Xenial) | 3.1.1-3ubuntu1.3+esm3 |
| Ubuntu 18.04 LTS(仿生) | 3.1.2-2.1ubuntu1.6+esm1 |
| Ubuntu 20.04 LTS(焦點) | 3.1.3-8ubuntu0.8 |
| Ubuntu 22.04 LTS(傑米) | 3.2.7-0ubuntu0.22.04.3 |
| Ubuntu 24.04 LTS(高貴) | 3.2.7-1烏圖圖1.2 |
如果安裝了舊版本,則在更新之前您將面臨風險。
跑步sudo apt update檢查最新的可用更新,然後運行sudo apt upgrade下載並應用它們。
在 Ubuntu Server 上,並不總是需要安裝所有更新。跑步sudo apt install --only-upgrade rsync僅升級 Rsync。
無論您不這樣做,都不要推遲此更新,因為它不是其中之一“......如果有人在您未鎖定機器的情況下本地訪問您的機器,那麼這只是一個缺陷”類型缺陷——積極主動!
- 如果您沒有啟用無人值守升級,那就是這樣。如果不這樣做,請考慮啟用它,因為這意味著會自動下載並應用像這樣的安全修復程序。↩︎
現在正在做什麼嗎?哦,你正在讀這篇文章——讚賞– 但是一旦你完成了就去安裝1待更新至同步,本週推送到所有受支持的 Ubuntu 桌面和服務器版本。
同步是一個預裝在所有版本和風格的 Ubuntu 中的命令行工具。它用於在本地或遠程位置之間進行數據高效的文件複製和同步。
你可能不會(故意)使用它(它不是 GUI 應用程序)那裡,在您的系統上。
而事實是那裡很重要。
本週,谷歌的安全研究人員披露了 Ubuntu rsync 軟件包中的主要漏洞,這些漏洞影響其服務器和客戶端組件,如果不修補這些漏洞,這些漏洞可能會被惡意利用。
rsync 守護進程中存在兩個漏洞(CVE-2024-12084&CVE-2024-12085)允許遠程代碼執行,而客戶端中的三個缺陷可能允許惡意服務器讀取文件,創建不安全的符號鏈接和可能會覆蓋文件– 不好。
突出問題,規範說第六個漏洞(CVE-2024-12747)是在對其他漏洞進行“協調漏洞響應”期間發現的,後者影響了 rsync 服務器處理符號鏈接的方式。
Ubuntu Server 用戶應該付出額外的努力來檢查是否已應用相關更新,因為服務器可能是處理重要或敏感數據的關鍵任務基礎設施。
Rsync安全漏洞更新
Canonical 的安全團隊本周向所有受支持的 Ubuntu 版本推出了 rsync 的修補版本。如果您的系統上沒有啟用無人值守升級,您應該檢查是否已安裝更新,如果沒有安裝它。
不包含任何新功能;這是將較新版本的 Rsync 向後移植到較舊版本,只是將補丁應用於每個相應 Ubuntu 版本中附帶的版本。
您可以通過運行以下命令手動檢查 Ubuntu 中安裝了哪個版本的 rsync 版本:
dpkg -l rsync
從顯示的輸出中,根據修補版本檢查版本號在 Launchpad 上列出或者,為了方便起見,通過此表:
| Ubuntu 14.04 LTS(可信) | 3.1.0-2ubuntu0.4+esm1 |
| Ubuntu 16.04 LTS(Xenial) | 3.1.1-3ubuntu1.3+esm3 |
| Ubuntu 18.04 LTS(仿生) | 3.1.2-2.1ubuntu1.6+esm1 |
| Ubuntu 20.04 LTS(焦點) | 3.1.3-8ubuntu0.8 |
| Ubuntu 22.04 LTS(傑米) | 3.2.7-0ubuntu0.22.04.3 |
| Ubuntu 24.04 LTS(高貴) | 3.2.7-1烏圖圖1.2 |
如果安裝了舊版本,則在更新之前您將面臨風險。
跑步sudo apt update檢查最新的可用更新,然後運行sudo apt upgrade下載並應用它們。
在 Ubuntu Server 上,並不總是需要安裝所有更新。跑步sudo apt install --only-upgrade rsync僅升級 Rsync。
無論您不這樣做,都不要推遲此更新,因為它不是其中之一“......如果有人在您未鎖定機器的情況下本地訪問您的機器,那麼這只是一個缺陷”類型缺陷——積極主動!
- 如果您沒有啟用無人值守升級,那就是這樣。如果不這樣做,請考慮啟用它,因為這意味著會自動下載並應用像這樣的安全修復程序。↩︎