RsyncにCVSS 9.8を含む複数の脆弱性 直ちに最新版のパッチ適用を推奨：セキュリティニュースアラート

Rsyncに深刻な脆弱性が複数見つかった。これらを悪用されると、攻撃者によるリモートコード実行や機密情報漏えいのリスクがある。ユーザーは直ちに最新版のパッチを適用する必要がある。

[後藤大地，有限会社オングス]

　セキュリティニュースメディアの「SecurityOnline」は2025年1月14日（現地時間）、同期ツールとして広く利用されている「Rsync」に複数の脆弱（ぜいじゃく）性が存在することを報じた。

　Rsyncはファイルやディレクトリの同期を効率的に実施するためのオープンソースソフトウェアだ。ネットワークを介したファイルのコピーにおいて差分転送技術を使うことでデータ転送量を最小限に抑えられる。主にバックアップやミラーリング用途で使用され、「Linux」や「UNIX」環境を中心に幅広く採用されている。

Rsyncユーザーはすぐに更新を　CVSS 9.8の脆弱性もあり

　これらの脆弱性が悪用された場合、攻撃者に任意のコードが実行される可能性がある。修正された脆弱性の中には深刻度「緊急」（Critical）と評価されているものもあり注意が必要だ。

　ユーザーに重大なリスクをもたらすとされる脆弱性のCVE情報は以下の通りだ。

• CVE-2024-12084（CVSS 9.8）：　ヒープバッファーオーバーフローの脆弱性。rsyncデーモンでチェックサムの長さ（s2length）が適切に処理されないことに起因する
• CVE-2024-12085（CVSS 7.5）：　未初期化メモリの脆弱性。攻撃者が初期化されていないメモリにアクセスして機密情報が漏えいする
• CVE-2024-12086（CVSS 6.1）：　ファイルリークの脆弱性。悪意のあるサーバがクライアントの任意ファイルを抽出する可能性がある
• CVE-2024-12087（CVSS 6.5）：　パストラバーサルの脆弱性。任意のディレクトリに悪意のあるファイルを書き込む可能性がある
• CVE-2024-12088（CVSS 6.5）：　パストラバーサルの脆弱性。任意のファイルを目的のディレクトリ外に書き込む可能性がある
• CVE-2024-12747（CVSS 5.6）：　シンボリックリンク競合の脆弱性。機密情報の漏えいや権限の昇格につながる可能性がある

　攻撃者によるリモートコード実行や機密データの漏えいの観点でこれらの脆弱性は重大なリスクを伴う。ヒープバッファーオーバーフローの問題が悪用されると攻撃者に任意のコードがサーバ上で実行され、システムを完全に制御される可能性がある。また未初期化メモリへのアクセスを悪用された場合には攻撃者に機密情報が取得され、さらなる攻撃の足掛かりにされてしまう。

　ユーザーはRsyncの最新版パッチを速やかに適用する必要がある。パッチは公式RsyncサイトおよびSambaプロジェクトサイトで提供されている。またRsyncをバックエンドとして利用するソフトウェアも同様に更新し、これらの脆弱性に対処することが推奨されている。