Hallo, zumindest für CVE-2024-12084 gilt das die Version >= 3.2.7 und < 3.4.0 sein muss. Bei den weniger schlimmen CVEs sind alle Versionen < 3.4.0 betroffen. Redhat 9 und kompatible Betriebssysteme haben maximal 3.2.7 Beim Ubuntu und OpenSuSE habe ich jetzt auch keine Version zwischen 3.2.7 und 3.4.0 entdecken können. Viele Grüße Frank https://access.redhat.com/security/cve/cve-2024-12084 https://www.openwall.com/lists/oss-security/2025/01/14/3 On 15.01.25 10:14, Böckmann, Bernd wrote:
Hallo zusammen,
verstehe ich das richtig, dass hier primär der Daemon betroffen ist? Heißt also, wenn ich den nicht laufen habe und meine Dateien per SSH über rsync schiebe, ist das erstmal unproblematisch? Oder steckt der Kram noch implizit in irgendeinem anderen Sever, Samba beispielsweise? Dan kann ich nämlich nicht mal eben so ohne Wartungsankündigung neu starten...
Viele Grüße, Bernd Böckmann
Am 15.01.2025 um 09:03 schrieb Bernd Kohler<kohler@itc.rwth-aachen.de>:
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"CVE-2024-12084 (CVSS 9.8) – Code Execution Risk: Rsync Vulnerability Demands Immediate Patching"
VG
Bernd
[0] https://securityonline.info/cve-2024-12084-cvss-9-8-code-execution-risk-rsyn...
--
Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler@itc.rwth-aachen.de www.itc.rwth-aachen.de
Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ