RsyncにCVSS 9.8を含む複数の脆弱性 直ちに最新版のパッチ適用を推奨:セキュリティニュースアラート
Rsyncに深刻な脆弱性が複数見つかった。これらを悪用されると、攻撃者によるリモートコード実行や機密情報漏えいのリスクがある。ユーザーは直ちに最新版のパッチを適用する必要がある。
セキュリティニュースメディアの「SecurityOnline」は2025年1月14日(現地時間)、同期ツールとして広く利用されている「Rsync」に複数の脆弱(ぜいじゃく)性が存在することを報じた。
Rsyncはファイルやディレクトリの同期を効率的に実施するためのオープンソースソフトウェアだ。ネットワークを介したファイルのコピーにおいて差分転送技術を使うことでデータ転送量を最小限に抑えられる。主にバックアップやミラーリング用途で使用され、「Linux」や「UNIX」環境を中心に幅広く採用されている。
Rsyncユーザーはすぐに更新を CVSS 9.8の脆弱性もあり
これらの脆弱性が悪用された場合、攻撃者に任意のコードが実行される可能性がある。修正された脆弱性の中には深刻度「緊急」(Critical)と評価されているものもあり注意が必要だ。
ユーザーに重大なリスクをもたらすとされる脆弱性のCVE情報は以下の通りだ。
- CVE-2024-12084(CVSS 9.8): ヒープバッファーオーバーフローの脆弱性。rsyncデーモンでチェックサムの長さ(s2length)が適切に処理されないことに起因する
- CVE-2024-12085(CVSS 7.5): 未初期化メモリの脆弱性。攻撃者が初期化されていないメモリにアクセスして機密情報が漏えいする
- CVE-2024-12086(CVSS 6.1): ファイルリークの脆弱性。悪意のあるサーバがクライアントの任意ファイルを抽出する可能性がある
- CVE-2024-12087(CVSS 6.5): パストラバーサルの脆弱性。任意のディレクトリに悪意のあるファイルを書き込む可能性がある
- CVE-2024-12088(CVSS 6.5): パストラバーサルの脆弱性。任意のファイルを目的のディレクトリ外に書き込む可能性がある
- CVE-2024-12747(CVSS 5.6): シンボリックリンク競合の脆弱性。機密情報の漏えいや権限の昇格につながる可能性がある
攻撃者によるリモートコード実行や機密データの漏えいの観点でこれらの脆弱性は重大なリスクを伴う。ヒープバッファーオーバーフローの問題が悪用されると攻撃者に任意のコードがサーバ上で実行され、システムを完全に制御される可能性がある。また未初期化メモリへのアクセスを悪用された場合には攻撃者に機密情報が取得され、さらなる攻撃の足掛かりにされてしまう。
ユーザーはRsyncの最新版パッチを速やかに適用する必要がある。パッチは公式RsyncサイトおよびSambaプロジェクトサイトで提供されている。またRsyncをバックエンドとして利用するソフトウェアも同様に更新し、これらの脆弱性に対処することが推奨されている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
アタックサーフェスマネジメントツールへの過信は禁物? できること、できないことを解説
注目のセキュリティキーワードである「ASM」(Attack Surface Management)。ASMツールを導入すれば全てが解決するというわけではありません。本稿はASMツールでできること、できないことを解説します。
注目はパスキーだけじゃない 2025年こそ流行ってほしい3つのセキュリティ技術
2025年が始まりました。相変わらずサイバー攻撃は収まる気配はないので、防御側もしっかりと対策を講じなければなりません。今回は新年1回目ということで、2025年こそ流行ってほしい3つのセキュリティ技術を紹介します。
“ランサムウェア戦国時代”到来? 2つの事件から見る攻撃者ビジネスの変化
RaaSをはじめとしたランサムウェアの高度化は大きな問題だ。2024年にランサムウェアのエコシステムに起きた“象徴的な2つの事件”を取り上げ、攻撃者たちのビジネスモデルや意識がどのように変化したかを解説しよう。
“EDR回避”は2025年の最新トレンド? 最新の攻撃手法を深堀しよう
ここ数年で、ランサムウェアをはじめとしたサイバー攻撃を防ぐ有効な手段としてEDRが広く普及しました。しかし攻撃者もこれを理解し、EDRを回避する攻撃手法を編み出すようになっています。今回はその技術的手法の詳細に迫ります。