rsync に複数の脆弱性 | ScanNetSecurity
2026.07.15(水)

rsync に複数の脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月15日、rsyncにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月15日、rsyncにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

rsync バージョン 3.3.0 およびそれ以前

 rsyncには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・ヒープベースのバッファオーバーフロー(CVE-2024-12084)
→システム上で任意のコードが実行されたり、rsyncサービスを停止されたりする

・メモリバッファエラー(CVE-2024-12085)
→システム上のメモリ情報が漏えいする

・エラー処理の不備(CVE-2024-12086)
→ rsyncを用いて悪意のあるサーバにアクセスした際、システム上のファイル情報が不正に取得される

・パストラバーサル(CVE-2024-12087)
→--inc-recursive オプションが有効となっている際に、目的のディレクトリ外のパスに任意のファイルを書き込まれる

・パストラバーサル(CVE-2024-12088)
→--safe-links オプションによる保護を回避され、目的のディレクトリ外のパスに任意のファイルを書き込まれる

・シンボリックリンク処理時の競合状態(CVE-2024-12747)
→権限を昇格された状態で目的のディレクトリ外のパスにアクセスされる

 JVNでは、開発者が提供する情報をもとに最新バージョンにアップデートするよう呼びかけている。なお、一連の脆弱性を修正したバージョン3.4.0がリリースされている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

    村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

  2. 日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

    日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

  3. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  4. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  5. 川崎フロンターレのユニフォームデザインが流出、SNSメディアが取材した動画に写り込み

    川崎フロンターレのユニフォームデザインが流出、SNSメディアが取材した動画に写り込み

ランキングをもっと見る
PageTop