掲載番号:NV25-004
脆弱性情報識別番号:JVNVU#94903505

概要

rsyncには複数の脆弱性が存在します。

システム上で任意のコードが実行されたり、rsyncサービスを停止されたりする（CVE-2024-12084）
システム上のメモリ情報が漏えいする（CVE-2024-12085）
rsyncを用いて悪意のあるサーバにアクセスした際、システム上のファイル情報が不正に取得される（CVE-2024-12086）
--inc-recursive オプションが有効となっている際に、目的のディレクトリ外のパスに任意のファイルを書き込まれる（CVE-2024-12087）
--safe-links オプションによる保護を回避され、目的のディレクトリ外のパスに任意のファイルを書き込まれる（CVE-2024-12088）
権限を昇格された状態で目的のディレクトリ外のパスにアクセスされる。（CVE-2024-12747）

対象製品

Network Operation Engine

対象となる製品のバージョン

Virtual Appliance製品のすべてのバージョン(VA1.0~VA2.0)
※本製品はrsyncを使用していませんが、Network Operation Engine Virtual Appliance製品のOSに含まれるrsyncコマンドを利用する場合、本脆弱性の影響を受ける可能性があります。

対処方法

Virtual Appliance製品のOSに含まれるrsyncコマンドを利用して、Virtual Appliance製品稼働サーバ以外のサーバと通信を行わない

参考情報

JVN
https://jvn.jp/vu/JVNVU94903505/

更新情報