| 概要 | A flaw was found in rsync. When using the `--safe-links` option, the rsync client fails to properly verify if a symbolic link destination sent from the server contains another symbolic link within it. This results in a path traversal vulnerability, which may lead to arbitrary file write outside the desired directory. |
|---|---|
| 概要 | Se encontró un fallo en rsync. Al usar la opción `--safe-links`, rsync no verifica correctamente si un destino de enlace simbólico contiene otro enlace simbólico dentro de él. Esto genera una vulnerabilidad de Path Traversal, que puede provocar la escritura arbitraria de archivos fuera del directorio deseado. |
| 公表日 | 2025年1月15日3:15 |
| 登録日 | 2025年1月16日4:05 |
| 最終更新日 | 2026年4月15日7:16 |
| CVSS3.1 : HIGH | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | なし |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:samba:rsync:*:*:*:*:*:*:*:* | 3.3.0 | ||||
| cpe:2.3:a:redhat:discovery:1.14:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:openshift_container_platform:4.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux:10.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_eus:9.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_arm_64:8.0_aarch64:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_arm_64:9.0_aarch64:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_arm_64_eus:9.6_aarch64:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:8.0_s390x:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:9.0_s390x:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems_eus:9.6_s390x:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian:8.0_ppc64le:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian:9.0_ppc64le:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian_eus:9.6_ppc64le:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_aus:9.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_for_power_little_endian_update_services_for_sap_solutions:9.6_ppc64le:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_update_services_for_sap_solutions:9.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:archlinux:arch_linux:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:gentoo:linux:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:nixos:nixos:*:*:*:*:*:*:*:* | 24.11 | ||||
| cpe:2.3:o:novell:suse_linux:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:tritondatacenter:smartos:*:*:*:*:*:*:*:* | 20250123 | ||||
| cpe:2.3:o:almalinux:almalinux:8.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:o:almalinux:almalinux:9.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:o:almalinux:almalinux:10.0:-:*:*:*:*:*:* | |||||
| タイトル | Samba Project の rsync 等複数ベンダの製品におけるパストラバーサルの脆弱性 |
|---|---|
| 概要 | Samba Project の rsync 等複数ベンダの製品には、パストラバーサルの脆弱性が存在します。 |
| 想定される影響 | 情報を改ざんされる可能性があります。 |
| 対策 | 参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年12月3日0:00 |
| 登録日 | 2025年6月30日14:33 |
| 最終更新日 | 2025年9月22日10:46 |
| AlmaLinux OS Foundation |
| AlmaLinux 10.0 |
| AlmaLinux 8.0 |
| AlmaLinux 9.0 |
| Arch Linux |
| Arch Linux |
| レッドハット |
| enterprise linux for arm 64 8.0 aarch64 |
| enterprise linux for arm 64 9.0 aarch64 |
| enterprise linux for arm 64 eus 9.6 aarch64 |
| enterprise linux update services for sap solutions 9.6 |
| Red Hat Discovery 1.14 |
| Red Hat Enterprise Linux 10.0 |
| Red Hat Enterprise Linux 6.0 |
| Red Hat Enterprise Linux 7.0 |
| Red Hat Enterprise Linux 8.0 |
| Red Hat Enterprise Linux 9.0 |
| Red Hat Enterprise Linux EUS 9.6 |
| Red Hat Enterprise Linux for IBM z Systems 8.0 s390x |
| Red Hat Enterprise Linux for IBM z Systems 9.0 s390x |
| Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 9.6 s390x |
| Red Hat Enterprise Linux for Power Little Endian Update Services for SAP Solutions 9.6 ppc64le |
| Red Hat Enterprise Linux for Power, little endian 8.0 ppc64le |
| Red Hat Enterprise Linux for Power, little endian 9.0 ppc64le |
| Red Hat Enterprise Linux for Power, little endian - Extended Update Support 9.6 ppc64le |
| Red Hat Enterprise Linux Server AUS 9.6 |
| Red Hat OpenShift Container Platform 4.0 |
| Samba Project |
| rsync 3.3.0 およびそれ以前 |
| 日本電気 |
| UNIVERGE Network Operation Engine |
| Novell |
| SUSE Linux |
| Gentoo Linux |
| Gentoo Linux |
| NixOS |
| NixOS 24.11 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2025年06月30日] 掲載 |
2025年6月30日14:33 |
| 2 | [2025年09月22日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日本電気 (NV25-004) を追加 |
2025年9月22日10:45 |