| Summary | A flaw was found in rsync. It could allow a server to enumerate the contents of an arbitrary file from the client's machine. This issue occurs when files are being copied from a client to a server. During this process, the rsync server will send checksums of local data to the client to compare with in order to determine what data needs to be sent to the server. By sending specially constructed checksum values for arbitrary files, an attacker may be able to reconstruct the data of those files byte-by-byte based on the responses from the client. |
|---|---|
| Summary | Se encontró un fallo en rsync que podría permitir que un servidor enumere el contenido de un archivo arbitrario de la máquina del cliente. Este problema ocurre cuando se copian archivos de un cliente a un servidor. Durante este proceso, el servidor rsync enviará sumas de comprobación de datos locales al cliente para que las compare y determine qué datos deben enviarse al servidor. Al enviar valores de suma de comprobación especialmente creados para archivos arbitrarios, un atacante puede reconstruir los datos de esos archivos byte por byte en función de las respuestas del cliente. |
| Publication Date | Jan. 15, 2025, 3:15 a.m. |
| Registration Date | Jan. 16, 2025, 4:05 a.m. |
| Last Update | April 15, 2026, 7:16 a.m. |
| CVSS3.1 : MEDIUM | |
| スコア | 6.8 |
|---|---|
| Vector | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 高 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更あり |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:samba:rsync:*:*:*:*:*:*:*:* | 3.3.0 | ||||
| cpe:2.3:a:redhat:openshift_container_platform:4.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:10.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:almalinux:almalinux:8.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:o:almalinux:almalinux:9.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:o:almalinux:almalinux:10.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:o:archlinux:arch_linux:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:gentoo:linux:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:nixos:nixos:*:*:*:*:*:*:*:* | 24.11 | ||||
| cpe:2.3:o:suse:suse_linux:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:tritondatacenter:smartos:*:*:*:*:*:*:*:* | 20250123 | ||||
| Title | Samba Project の rsync 等複数ベンダの製品におけるエラー対応処理のないエラーの検出に関する脆弱性 |
|---|---|
| Summary | Samba Project の rsync 等複数ベンダの製品には、エラー対応処理のないエラーの検出に関する脆弱性が存在します。 |
| Possible impacts | 情報を取得される可能性があります。 |
| Solution | 参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Dec. 3, 2024, midnight |
| Registration Date | June 26, 2025, 11:50 a.m. |
| Last Update | Sept. 22, 2025, 10:43 a.m. |
| AlmaLinux OS Foundation |
| AlmaLinux 10.0 |
| AlmaLinux 8.0 |
| AlmaLinux 9.0 |
| Arch Linux |
| Arch Linux |
| レッドハット |
| Red Hat Enterprise Linux 10.0 |
| Red Hat Enterprise Linux 6.0 |
| Red Hat Enterprise Linux 7.0 |
| Red Hat Enterprise Linux 8.0 |
| Red Hat Enterprise Linux 9.0 |
| Red Hat OpenShift Container Platform 4.0 |
| Samba Project |
| rsync 3.3.0 およびそれ以前 |
| 日本電気 |
| UNIVERGE Network Operation Engine |
| Gentoo Linux |
| Gentoo Linux |
| SUSE |
| SUSE LINUX |
| NixOS |
| NixOS 24.11 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2025年06月26日] 掲載 |
June 26, 2025, 11:50 a.m. |
| 2 | [2025年09月22日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日本電気 (NV25-004) を追加 |
Sept. 22, 2025, 10:42 a.m. |