Para o meu trabalho, estou usando uma série de dispositivos montando o Debian 9 stretch. Ouvi falar da vulnerabilidade do rsync, que nossos dispositivos usam. Li no anúncio do Debian que o Bullseye (11) não é afetado. No entanto, no anúncio sobre o mesmo tópico para o Ubuntu, é dito que as versões afetadas upstream do rsync são de 3.1.0 a pelo menos 3.2.7, ou seja, de 2014 até agora, então eu esperaria que as versões upstream do Debian também fossem afetadas. Por exemplo, posso ver que meus dispositivos usam o rsync 3.1.2. Então minha pergunta é: posso ter certeza de que as versões pré-Bullseye do Debian não são afetadas (devido a, eu acho, diferentes patches aplicados em relação ao Ubuntu?), ou devo compilar a partir da fonte a nova versão do rsync, para ter certeza?
A maioria dos pacotes no Ubuntu e no Debian são idênticos, mas uma determinada versão do Ubuntu não descende de uma determinada versão do Debian , então não há uma regra geral que permita que informações de vulnerabilidade sejam correspondidas de uma para a outra.
Para entender essa instância específica, você precisa comparar as vulnerabilidades listadas nos vários anúncios. O anúncio do Debian micronews ao qual você está se referindo é especificamente sobre CVE-2024-12084, enquanto o anúncio do Ubuntu cobre uma série de
rsyncvulnerabilidades.Conforme mencionado no anúncio do Ubuntu, o CVE-2024-12084 afeta apenas a versão 3.2.7 e posteriores, e o rastreador de segurança do Debian para essa vulnerabilidade identifica corretamente as várias versões.
Já que você está olhando para o Debian 11 (como o melhor proxy disponível para o esforço necessário para manter o Debian 9, eu imagino), note que ele
rsyncrecebeu uma série de atualizações de segurança lá (veja o changelog correspondente ).rsyncainda é suportado no Debian 9 através do ELTS e foi atualizado para lidar com as vulnerabilidades recentes (com um acompanhamento para corrigir regressões ). Veja também Repositório de segurança para o Debian stretch não está mais funcionando .