对于我的工作,我使用一系列安装 Debian 9 的设备。我听说了 rsync 的漏洞,我们的设备就是使用这个漏洞的。我在 Debian公告中看到Bullseye (11) 不受影响。然而,在关于Ubuntu 同一主题的公告中,据说 rsync 上游受影响的版本从 3.1.0 到至少 3.2.7,即从 2014 年到现在,所以我预计上游 Debian 版本也会受到影响。例如,我可以看到我的设备使用 rsync 3.1.2。所以我的问题是:我能否确定 Debian 的 Bullseye 之前的版本不受影响(我猜是因为针对 Ubuntu 应用了不同的补丁?),或者我应该从源代码编译新版本的 rsync 以确保万无一失?
AskOverflow.Dev
Ubuntu 和 Debian 中的大多数软件包是相同的,但是给定的 Ubuntu 版本并不是源自给定的 Debian 版本,因此没有允许将一个版本的漏洞信息与另一个版本进行匹配的一般规则。
要了解这个具体情况,您需要比较各个公告中列出的漏洞。您提到的Debian micronews 公告专门针对 CVE-2024-12084,而Ubuntu 公告涵盖了许多
rsync漏洞。正如 Ubuntu 公告中提到的,CVE-2024-12084 仅影响 3.2.7 及更高版本,并且该漏洞的 Debian 安全追踪器可以正确识别各个版本。
由于您正在查看 Debian 11(我认为它是维护 Debian 9 所需工作量的最佳可用代理),请注意,它
rsync已在那里收到许多安全更新(请参阅相应的更改日志)。仍然通过ELTSrsync在 Debian 9 中得到支持,并且已更新以解决最近的漏洞(随后修复回归)。另请参阅Debian stretch 的安全存储库不再起作用。