北京时间2025年1月15日02:25，安全研究员Nick Tait在oss-security邮件列表中通报了rsync存在的6个安全漏洞。其中，最严重的漏洞允许攻击者仅通过匿名读取访问rsync服务器（如公共镜像），即可在服务器上执行任意代码。

漏洞详情：

1.  CVE-2024-12084 (CVSS: 9.8)：由于对校验和长度处理不当，rsync中存在堆缓冲区溢出漏洞。当MAX_DIGEST_LEN超过固定的SUM_LENGTH（16字节）时，攻击者可在sum2缓冲区中进行越界写入。受影响版本：3.2.7至3.4.0。

2.  CVE-2024-12085 (CVSS: 7.5)：在rsync守护进程中，比较文件校验和时，攻击者可操纵校验和长度，导致与未初始化的内存进行比较，从而每次泄露一个字节的未初始化堆栈数据。受影响版本：所有版本。

3.  CVE-2024-12086 (CVSS: 6.1)：rsync服务器可能泄露客户端的任意文件内容。在从客户端复制文件到服务器的过程中，服务器会发送本地数据的校验和供客户端比较。通过发送特制的校验和值，攻击者可能根据客户端的响应逐字节重建这些文件的数据。受影响版本：所有版本。

4.  CVE-2024-12087 (CVSS: 6.5)：rsync中存在路径遍历漏洞。当启用--inc-recursive选项（许多客户端默认启用）时，攻击者可利用此漏洞进行路径遍历攻击。受影响版本：所有版本。

5.  CVE-2024-12088 (CVSS: 6.5)：rsync的--copy-dest选项存在符号链接攻击漏洞。攻击者可利用此漏洞覆盖目标目录中的文件。受影响版本：所有版本。

6.  CVE-2024-12089 (CVSS: 6.5)：rsync的--backup-dir选项存在符号链接攻击漏洞。攻击者可利用此漏洞在备份目录中创建符号链接，导致文件覆盖。受影响版本：所有版本。

我是否受影响？

如果您从未安装rsync相关软件包（该包不在deepin 23中预装）则您不受该漏洞影响；

如果您未手动启用过rsync相关服务，则您不受该漏洞影响。

修复措施：

rsync的上游维护者已为上述漏洞准备了补丁，这些修复将包含在即将发布的上游rsync 3.4.0版本（deepin合并补丁版本为：3.3.0+ds1-3）中。

临时缓解措施：

我们强烈建议您更新到新版本，如果您想推迟更新，可采取以下措施临时缓解：

如您在rsync中不需要使用到校验和，您可以在rsync服务器端禁用checksum选项。具体方法为：

编辑 /etc/rsyncd.conf
在配置文件中添加 refuse options = checksum
重启 rsync 服务（systemctl restart rsync）

时间线：

● 2025年1月15日2:25：漏洞披露。

● 2025年1月15日2:25：上游发布补丁，发布rsync 3.40版本，包含漏洞修复。

● 2025年1月15日2:45：deepin sysdev组同步上游更新

● 2025年1月15日10:11：向deepin 23、deepin 25 用户推送更新

参考资料：

● oss-security通报： https://www.openwall.com/lists/oss-security/2025/01/14/3

● CERT KB： https://kb.cert.org/vuls/id/952657

我们强烈建议所有rsync用户尽快更新至3.4.0版本（deepin 版本为 3.3.0+ds1-3），以修复上述安全漏洞。