Все бюллетени/p10_e2k/ALT-PU-2022-5779-1
ALT-PU-2022-5779-1

Обновление пакета rsync в ветке p10_e2k

Версия3.2.5-alt0.2
Задание#0
Опубликовано2022-08-16
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (4)

BDU:2022-05325
CRITICAL9.8

Уязвимость компонента inflate.c библиотеки zlib, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2022-08-29Изменено: 2026-01-20
CVSS 3.xКРИТИЧЕСКАЯ 9.8
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 10.0
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C
Ссылки
BDU:2022-05498
HIGH7.4

Уязвимость утилиты для передачи и синхронизации файлов Rsync, связанная с ошибками авторизации, позволяющая нарушителю записывать произвольные файлы

Опубликовано: 2022-09-02Изменено: 2026-01-20
CVSS 3.xВЫСОКАЯ 7.4
CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H
CVSS 2.0ВЫСОКАЯ 7.6
CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:C/A:C
Ссылки
CVE-2022-29154
HIGH7.4

An issue was discovered in rsync before 3.2.5 that allows malicious remote servers to write arbitrary files inside the directories of connecting peers. The server chooses which files/directories are sent to the client. However, the rsync client performs insufficient validation of file names. A malicious rsync server (or Man-in-The-Middle attacker) can overwrite arbitrary files in the rsync client target directory and subdirectories (for example, overwrite the .ssh/authorized_keys file).

Опубликовано: 2022-08-02Изменено: 2024-11-21
CVSS 3.xВЫСОКАЯ 7.4
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H
Ссылки
CVE-2022-37434
CRITICAL9.8

zlib through 1.2.12 has a heap-based buffer over-read or buffer overflow in inflate in inflate.c via a large gzip header extra field. NOTE: only applications that call inflateGetHeader are affected. Some common applications bundle the affected zlib source code but may be unable to call inflateGetHeader (e.g., see the nodejs/node reference).

Опубликовано: 2022-08-05Изменено: 2025-05-30
CVSS 3.xКРИТИЧЕСКАЯ 9.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки