CVE-2024-12086 Almalinux — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	6,8 (MEDIUM)
Уязвимые версии	до 3.3.0
Устранено в версии	24.11
Тип уязвимости	CWE-390
Поставщик	Almalinux
Публичный эксплойт	Нет

В rsync обнаружена ошибка. Это может позволить серверу перечислять содержимое произвольного файла с клиентской машины. Эта проблема возникает, когда файлы копируются с клиента на сервер.

Во время этого процесса сервер rsync отправит клиенту контрольные суммы локальных данных для сравнения, чтобы определить, какие данные необходимо отправить на сервер. Отправляя специально созданные значения контрольной суммы для произвольных файлов, злоумышленник может побайтно восстановить данные этих файлов на основе ответов клиента.

Показать оригинальное описание (EN)

A flaw was found in rsync. It could allow a server to enumerate the contents of an arbitrary file from the client's machine. This issue occurs when files are being copied from a client to a server. During this process, the rsync server will send checksums of local data to the client to compare with in order to determine what data needs to be sent to the server. By sending specially constructed checksum values for arbitrary files, an attacker may be able to reconstruct the data of those files byte-by-byte based on the responses from the client.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Высокая

Сложно эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Нет

Нет модификации данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-390

Уязвимые продукты 15

Конфигурация	От (включительно)	До (исключительно)
Samba Rsync cpe:2.3:a:samba:rsync::::::::	—	`<= 3.3.0`
Redhat Openshift_Container_Platform cpe:2.3:a:redhat:openshift_container_platform:4.0:::::::*	—	—
Redhat Enterprise_Linux cpe:2.3:o:redhat:enterprise_linux:6.0:::::::*	—	—
Redhat Enterprise_Linux cpe:2.3:o:redhat:enterprise_linux:7.0:::::::*	—	—
Redhat Enterprise_Linux cpe:2.3:o:redhat:enterprise_linux:8.0:::::::*	—	—
Redhat Enterprise_Linux cpe:2.3:o:redhat:enterprise_linux:9.0:::::::*	—	—
Redhat Enterprise_Linux cpe:2.3:o:redhat:enterprise_linux:10.0:::::::*	—	—
Almalinux Almalinux cpe:2.3:o:almalinux:almalinux:8.0:-::::::	—	—
Almalinux Almalinux cpe:2.3:o:almalinux:almalinux:9.0:-::::::	—	—
Almalinux Almalinux cpe:2.3:o:almalinux:almalinux:10.0:-::::::	—	—
Archlinux Arch_Linux cpe:2.3:o:archlinux:arch_linux:-:::::::*	—	—
Gentoo Linux cpe:2.3:o:gentoo:linux:-:::::::*	—	—
Nixos Nixos cpe:2.3:o:nixos:nixos::::::::	—	`24.11`
Suse Suse_Linux cpe:2.3:o:suse:suse_linux:-:::::::*	—	—
Tritondatacenter Smartos cpe:2.3:o:tritondatacenter:smartos::::::::	—	`20250123`