开源同步器具 rsync 曝要紧间隙，允许黑客越界写入缓冲区

IT之家 1 月 20 日音问，Red Hat 产物安全工程师 Nick Tait 发文，公布了 Unix 和 Linux 操作系统中常见的开源文献同步器具 rsync 存在的 6 项间隙，当今 Rsync 已发布 3.4.0 版块缔造了关系间隙。

据 Nick Tait 先容，6 项间隙中最严重的是 CVE-2024-12084，CVSS 风险评分为 9.8 分（满分 10 分），该间隙存在于 3.2.7 版块及以上的 rsync 中，主要原因是 Rsync 贬责才略对校验和（checksum）长度考证失当，允许黑客越界写入 sum2 缓冲区，从而而已实行代码。

此外，Nick Tait 还露馅了 CVE-2024-12085 间隙，该间隙 CVSS 风险评分为 7.5，主要发生在 Rsync 贬责才略比对文献校验和的流程中。黑客通过操控校验和的长度，有契机使才略比对校验和与未脱手化的内存，进而走漏部分未脱手化的堆栈数据。

外媒 Bleeping Computer 进行拜访后发现，朝上 66 万台处事器可能因此受到安全胁迫，主要波及中国大陆和好意思国的处事器。