אובונטו מתקנת פרצות אבטחה עיקריות ב-Rsync

עושה משהו עכשיו? הו, אתה קורא את זה -מוערך- אבל לאחר שתסיים לך להתקין¹העדכון הממתין לRsync, נדחק לכל הגרסאות הנתמכות של שולחן העבודה והשרת של אובונטו השבוע.

Rsyncהוא כלי שורת פקודה המותקן מראש בכל הגרסאות והטעמים של אובונטו. הוא משמש להעתקה יעילה בנתונים וסנכרון של קבצים בין מיקומים, בין אם זה מקומי או מרוחק.

ייתכן שלא תשתמש בו (במודע) (זו לא אפליקציית GUI) זה כןשָׁם, במערכת שלך.

והעובדה שכןשָׁםחשוב.

השבוע, חוקרי אבטחה בגוגל חשפו נקודות תורפה עיקריות בחבילת ה-rsync של אובונטו שמשפיעות הן על רכיבי השרת והן על רכיבי הלקוח שלה - נקודות תורפה שעלולות להיות מנוצלות בצורה גרועה אם לא יתוקנו.

זוג נקודות תורפה בדמון rsync (CVE-2024-12084&CVE-2024-12085) מאפשרים ביצוע קוד מרחוק, בעוד ששלושה פגמים בלקוח עלולים לאפשר שרת זדוניכדי לקרוא קבצים,ליצור סימלינקים לא בטוחיםואולי תחליף קבצים– לא טוב.

הדגשת הבעיות,קנוניקל אומרפגיעות שישית (CVE-2024-12747) נחשפה במהלך "תגובת הפגיעות המתואמת" לפגיעויות האחרות, כאשר זו האחרונה משפיעה על האופן שבו שרת rsync מטפל בקישורים סימליים.

משתמשי Ubuntu Server צריכים לעשות מאמץ נוסף כדי לבדוק אם העדכון הרלוונטי הוחל מאחר ששרתים יכולים להיות תשתית קריטית למשימה המטפלת בנתונים חשובים או רגישים.

הקפד לבדוק איזו גרסה מותקנת

צוות האבטחה של Canonical דחף השבוע גרסאות מתוקנות של rsync לכל הגרסאות הנתמכות של אובונטו. אם אין לך שדרוגים ללא השגחה מופעלים במערכת שלך, עליך לבדוק אם העדכון הותקן, ואם לא התקן אותו.

לא כלולים תכונות חדשות; זה העברה לאחור של גרסה חדשה יותר של Rsync למהדורות ישנות יותר, פשוט תיקונים שהוחלו על הגרסה שנשלחה בכל מהדורת אובונטו בהתאמה.

אתה יכול לבדוק באופן ידני איזו גרסה של גרסת rsync מותקנת באובונטו על ידי הפעלת:

dpkg -l rsync

מהפלט המוצג, בדוק את מספר הגרסה מול הגירסאות המתוקנותמופיע ב-Launchpadאו, מטעמי נוחות, דרך הטבלה הזו:

אובונטו 14.04 LTS (אמין)	3.1.0-2ubuntu0.4+esm1
אובונטו 16.04 LTS (Xenial)	3.1.1-3ubuntu1.3+esm3
אובונטו 18.04 LTS (ביוני)	3.1.2-2.1ubuntu1.6+esm1
אובונטו 20.04 LTS (מוקד)	3.1.3-8ubuntu0.8
אובונטו 22.04 LTS (Jammy)	3.2.7-0ubuntu0.22.04.3
אובונטו 24.04 LTS (נובל)	3.2.7-1חינם1.1

אם מותקנת גרסה ישנה יותר אתה בסיכון עד שהיא תתעדכן.

לָרוּץsudo apt updateכדי לבדוק את העדכונים הזמינים האחרונים, ולאחר מכן הפעלsudo apt upgradeכדי להוריד ולהחיל אותם.

עדכון קטן עם הבטחות אבטחה גדולות

בשרת אובונטו לא תמיד רצוי להתקין את כל העדכונים. לָרוּץsudo apt install --only-upgrade rsyncלשדרוג Rsync בלבד.

מה שלא תעשה, אל תדחה את העדכון הזה מכיוון שהוא לא אחד מאלה"...רק פגם אם למישהו יש גישה מקומית למחשב שלך כשאתה משאיר אותו לא נעול"פגמי סוג - היו פרואקטיביים!

אם לא הפעלתם שדרוגים ללא השגחה, כלומר. אם לא, שקול להפעיל את זה מכיוון שמשמעות הדבר שתיקוני אבטחה כמו זה יורדים ומוחלים באופן אוטומטי.↩︎