Hier haben wir mal wieder etwas, dass sich als Herausforderung im Risikomanagement darstellt. (TL:DR - Update auf Version 3.4.0+ dringed empfohlen)

Rsync Vulnerabilities Let Hackers Gain Full Control of Servers – PoC Released

CVE-2024-12084 mit CVSS 9.8
CVE-2024-12085 mit CVSS 7.5
CVE-2024-12087 mit CVSS 6.5
CVE-2024-12088 mit CVSS 6.5
CVE-2024-12086 mit CVSS 6.1

Wenn es eine Sicherheitslücke mit bereits veröffentlichtem Patch ist, dann sollte man ja meinen das Thema sei eigentlich einfach abgehandelt - neue Version installieren, fertig.

Das ist nicht vollkommen falsch - das Problem ist, dass rysnc unter der Haube auch von zahlreichen anderen Anwendungen genutzt wird, die sich damit beschäftigen Dinge aus der Ferne miteinander zu synchronisieren. Und dass es auch einige Forks und Varianten gibt, von denen dann noch zu klären ist ob diese dasselbe Problem haben, oder nicht.

Aber wie findet man raus welche Tools das sind? SBOM (Quasi eine Stückliste für Softwarekomponenten) wäre eine Lösung, aber die ist halt bei Weitem noch nicht überall verfügbar

Und, wie geht man mit so einer Meldung dann um, Leute?