CVE-2025-67901: CWE-1284 对kristapsdz openrsync中指定输入数量验证不当
严重性: 中等 类型: 漏洞
CVE-2025-67901
openrsync 0.5.0及之前版本(用于OpenBSD 7.8及之前版本以及其他平台)允许客户端通过指定块数据长度为零来导致服务器发生SIGSEGV(段错误),原因是未检查p->rem和p->len之间的关系。
AI 分析
技术总结
CVE-2025-67901是一个被归类为CWE-1284(对指定输入数量验证不当)的漏洞,影响openrsync 0.5.0及之前版本。Openrsync是kristapsdz开发的一个轻量级rsync实现,主要用于OpenBSD 7.8及之前版本和其他平台。该漏洞的出现是因为服务器在处理客户端输入时,未能正确验证剩余数据长度(p->rem)与指定的块长度(p->len)之间的关系。具体来说,客户端可以指定一个零长度的块数据,而服务器无法正确处理,导致段错误(SIGSEGV)并使服务器进程崩溃。这会导致拒绝服务(DoS)状况,影响服务的可用性。其CVSS v3.1评分为5.3(中等),反映了攻击向量是基于网络的(AV:N),需要低权限(PR:L),无需用户交互(UI:N),并且攻击复杂度高(AC:H)。该漏洞不影响机密性或完整性,仅影响可用性。在披露时,尚未发布任何补丁或修复程序,且未报告有已知的在野利用。对于依赖openrsync进行文件同步的环境,尤其是在OpenBSD部署中,此漏洞影响重大,服务中断可能影响业务连续性。
潜在影响
CVE-2025-67901的主要影响是拒绝服务,攻击者可以通过发送指定零长度数据块的畸形输入,远程使openrsync服务器崩溃。对于欧洲的组织,这可能会破坏自动文件同步过程,可能影响依赖于openrsync的备份操作、数据复制或部署工作流。虽然未表明存在直接的数据泄露或完整性破坏,但服务不可用可能导致运营延误和恢复成本增加。对于正常运行时间要求严格的金融、电信和政府服务等关键基础设施或部门,可能会受到严重干扰。由于利用漏洞需要网络访问但仅需低权限,内部威胁行为者或受感染的主机也可能触发该漏洞。缺乏补丁增加了暴露时间。在生产环境中使用OpenBSD 7.8或更早版本以及openrsync的组织面临的风险尤其大。中等严重性评级表明,需要采取中等紧急程度的修复措施以防止潜在的服务中断。
缓解建议
- 通过实施防火墙规则,限制对受信任IP地址或VPN的连接,从而限制对openrsync服务器的网络访问,减少暴露给不受信任的客户端。
- 监控openrsync服务器日志和系统日志,检查是否存在意外崩溃或SIGSEGV事件,以便早期发现潜在的利用尝试。
- 如果openrsync服务非关键,可暂时禁用,或使用其他已打补丁的同步工具替代,直到供应商提供补丁。
- 对于运行OpenBSD 7.8或更早版本的组织,如果新版本包含更新的openrsync或其他安全的文件同步工具,请考虑升级到新版本。
- 实施网络分段,将openrsync服务器与普通用户网络隔离,以限制攻击面。
- 与openrsync项目或供应商联系以获取更新和补丁,并在可用后立即应用。
- 进行内部审计,识别所有运行openrsync的系统,并评估它们受此漏洞影响的程度。
- 使用入侵检测/预防系统(IDS/IPS)来检测针对openrsync服务的异常流量模式。
受影响国家
德国、荷兰、英国、法国、瑞典
来源: CVE数据库 V5 发布时间: 2025年12月14日,星期日
技术详情
- 数据版本: 5.2
- 分配者简称: mitre
- 预留日期: 2025-12-14T23:50:38.613Z
- Cvss 版本: 3.1
- 状态: 已发布
- 威胁 ID: 693f50a7b0f1e1d5302d6805
- 添加到数据库: 2025年12月15日,上午12:04:55
- 最后丰富信息: 2025年12月15日,上午12:19:58
- 最后更新: 2025年12月15日,下午2:42:30