漏洞描述

rsync是Wayne Davison个人开发者的一个提供快速增量文件传输的开源实用程序。

rsync 3.2.5之前版本存在安全漏洞，该漏洞源于rsync 客户端对文件名的验证不足。

修复方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/WayneD/rsync/commit/b7231c7d02cfb65d291af74ff66e7d8c507ee871

centos修复方法

如果yum list中的rsync版本大于3.2.5，则直接通过yum进行安装：

[java@iZuf65h6b07p55f3nedcv2Z bugs]$ yum update rsync

通过https://download.samba.org/pub/rsync/页面下载对应的版本安装包，同时下载对应的依赖环境包，在安装前先安装需要的依赖：

[java@iZuf65h6b07p55f3nedcv2Z bugs]$ wget http://blog.springhub.cn/wp-content/uploads/2022/12/rsync-dependency.tar.gz
[java@iZuf65h6b07p55f3nedcv2Z bugs]$ tar -xf rsync-dependency.tar.gz
[java@iZuf65h6b07p55f3nedcv2Z bugs]$ cd rsync-dependency/
[java@iZuf65h6b07p55f3nedcv2Z rsync-dependency]$ sudo rpm -Uvh --force --nodeps *.rpm
[java@iZuf65h6b07p55f3nedcv2Z rsync-dependency]$ cd ..
[java@iZuf65h6b07p55f3nedcv2Z bugs]$ wget https://download.samba.org/pub/rsync/rsync-3.2.7.tar.gz
[java@iZuf65h6b07p55f3nedcv2Z bugs]$ tar -xf rsync-3.2.7.tar.gz
[java@iZuf65h6b07p55f3nedcv2Z bugs]$ cd rsync-3.2.7/
[java@iZuf65h6b07p55f3nedcv2Z rsync-3.2.7]$ ./configure
[java@iZuf65h6b07p55f3nedcv2Z rsync-3.2.7]$ sudo make && sudo make install
# 查看版本进行验证
[java@iZuf65h6b07p55f3nedcv2Z rsync-3.2.7]$ rsync --version
rsync  version 3.2.7  protocol version 31