Katalog CVE

CVE-2024-12084

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
72.06%

Percentyl 99 - wyżej niż 99% wszystkich znanych CVE

Streszczenie

W demonie rsync odkryto podatność przepełnienia bufora sterty spowodowaną nieprawidłowym obsługiwaniem długości sum kontrolnych (s2length) kontrolowanych przez atakującego. Gdy MAX_DIGEST_LEN przekracza stałą SUM_LENGTH (16 bajtów), atakujący może zapisać dane poza granicami bufora sum2.

Ocena ryzyka

Atakujący może zdalnie spowodować awarię demona rsync lub potencjalnie wykonać dowolny kod, co prowadzi do naruszenia integralności i poufności danych w organizacji.

Rekomendacja

Należy natychmiast zaktualizować rsync do wersji zawierającej poprawkę dla CVE-2024-12084 oraz ograniczyć dostęp do demona rsync tylko z zaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

A heap-based buffer overflow flaw was found in the rsync daemon. This issue is due to improper handling of attacker-controlled checksum lengths (s2length) in the code. When MAX_DIGEST_LEN exceeds the fixed SUM_LENGTH (16 bytes), an attacker can write out of bounds in the sum2 buffer.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS