Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

同期プログラム「rsync」に脆弱性 - アップデートをリリース

ファイルやディレクトリの同期機能を提供する「rsync」において、クライアントに任意のファイルを上書きできる脆弱性が明らかとなった。最新版で修正されている。

「rsync」のクライアント側でファイル名を十分検証しておらず、任意のファイルを書き込むことができる脆弱性「CVE-2022-29154」が明らかとなったもの。

悪意あるサーバや中間者攻撃(MITM攻撃)によって、対象ディレクトリやサブディレクトリ内のファイルを上書きすることが可能になる。

米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.4」、重要度は4段階中、上から2番目にあたる「高(High)」とレーティングされている。

開発チームでは、8月14日に「同3.2.5」をリリースし、ファイルリストの検証ルールを追加することで脆弱性を修正した。同バージョンでは、データの圧縮や解凍に用いるライブラリ「zlib」の深刻な脆弱性「CVE-2022-37434」についても修正を行っている。

(Security NEXT - 2022/08/24 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Security Days Fall 2022」を10月にリアル開催 - 配信なし
ファイルサーバがランサム被害、情報流出の可能性 - みんな電力
都立高から消えた「生徒個人カード」、一部を河川敷で発見
Google、「Chrome 106」をリリース - セキュリティ関連で20件の修正
「FFmpeg」に脆弱性、悪意あるmp4ファイルでコード実行のおそれ
ジブリパークのスタッフ情報が流出か - 派遣元にサイバー攻撃
XMLパーサーのライブラリ「libexpat」に深刻な脆弱性
政府の共通認証サービス「GビズID」に不正アクセス
サーバに不正アクセス、原因を調査中 - 採用コンサル会社
業務用ユニフォームの通信販売サイトに不正アクセス