CVE-2025-67901:CWE-1284 openrsync输入指定数量验证不当漏洞
严重性:中等 类型:漏洞
CVE-2025-67901
CVE-2025-67901 是一个中等严重性的漏洞,影响 openrsync 0.5.0 及更早版本,波及 OpenBSD 7.8 及更早版本和其他平台。该缺陷源于对输入数量的验证不当,允许客户端指定一个零长度的数据块,从而导致服务器崩溃(SIGSEGV)。这种拒绝服务状况不影响机密性或完整性,但影响可用性。利用此漏洞需要具备网络访问权限和低权限,且无需用户交互。目前尚未发现野外利用,也尚未发布补丁。使用 openrsync 的欧洲组织,特别是那些运行 OpenBSD 7.8 或更早版本的,应注意此风险。
AI 分析
技术摘要
CVE-2025-67901 是一个归类于 CWE-1284(输入中指定数量验证不当)的漏洞,影响 openrsync 0.5.0 及更早版本。Openrsync 是 kristapsdz 开发的一个轻量级 rsync 实现,特别用于 OpenBSD 7.8 及更早版本和其他平台。该漏洞的发生是因为服务器在处理客户端输入时,未正确验证剩余数据长度(p->rem)与指定块长度(p->len)之间的关系。具体而言,客户端可以指定一个零长度的块数据长度,而服务器未能正确处理,导致段错误(SIGSEGV)并使服务器进程崩溃。这导致了拒绝服务(DoS)状况,影响了服务的可用性。其 CVSS v3.1 评分为 5.3(中等),反映了攻击向量是基于网络的(AV:N),需要低权限(PR:L),无需用户交互(UI:N),并且攻击复杂度高(AC:H)。该漏洞不影响机密性或完整性,仅影响可用性。在披露时尚未发布任何补丁或修复,且未报告有野外已知利用。该漏洞对于依赖 openrsync 进行文件同步的环境(尤其是 OpenBSD 部署)具有重要意义,服务中断可能影响运营连续性。
潜在影响
CVE-2025-67901 的主要影响是拒绝服务,攻击者可以通过发送指定零长度数据块的畸形输入来远程崩溃 openrsync 服务器。对于欧洲组织,这可能破坏自动化文件同步过程,可能影响依赖于 openrsync 的备份操作、数据复制或部署工作流。虽然没有直接的数据泄露或完整性破坏迹象,但服务不可用可能导致运营延迟和恢复成本增加。对正常运行时间有严格要求的关键基础设施或部门,如金融、电信和政府服务,可能会受到重大干扰。由于利用需要网络访问但只需要低权限,内部威胁行为者或被入侵的主机可能触发该漏洞。缺乏补丁增加了暴露时间。在生产环境中使用 OpenBSD 7.8 或更早版本和 openrsync 的组织风险尤其高。中等严重性评级表明,在补救以防止潜在服务中断方面具有中等紧迫性。
缓解建议
- 通过实施防火墙规则限制对受信任 IP 地址或 VPN 的连接,限制对 openrsync 服务器的网络访问,减少对不受信任客户端的暴露。
- 监控 openrsync 服务器日志和系统日志中是否有意外崩溃或 SIGSEGV 事件,以便及早检测潜在的利用尝试。
- 如果 openrsync 服务不关键,则暂时禁用它,或者用其他已打补丁的同步工具替代,直到供应商补丁可用。
- 对于运行 OpenBSD 7.8 或更早版本的组织,如果新版本包含更新的 openrsync 或替代的安全文件同步工具,请考虑升级到新版本。
- 实施网络分段,将 openrsync 服务器与普通用户网络隔离,以限制攻击面。
- 与 openrsync 项目或供应商联系以获取更新和补丁,并在可用后及时应用。
- 进行内部审计,识别所有运行 openrsync 的系统,并评估它们对此漏洞的暴露情况。
- 使用入侵检测/防御系统(IDS/IPS)来检测针对 openrsync 服务的异常流量模式。
受影响国家
德国、荷兰、英国、法国、瑞典
来源:CVE 数据库 V5 发布日期:2025年12月14日,星期日
发布于:2025年12月14日,星期日(2025年12月14日,23:50:38 UTC) 来源:CVE 数据库 V5 供应商/项目:kristapsdz 产品:openrsync
描述
CVE-2025-67901 是一个中等严重性的漏洞,影响 openrsync 0.5.0 及更早版本,波及 OpenBSD 7.8 及更早版本和其他平台。该缺陷源于对输入数量的验证不当,允许客户端指定一个零长度的数据块,从而导致服务器崩溃(SIGSEGV)。这种拒绝服务状况不影响机密性或完整性,但影响可用性。利用此漏洞需要具备网络访问权限和低权限,且无需用户交互。目前尚未发现野外利用,也尚未发布补丁。使用 openrsync 的欧洲组织,特别是那些运行 OpenBSD 7.8 或更早版本的,应注意此风险。
AI 驱动分析
AI 最后更新:2025年12月15日,00:19:58 UTC
技术分析
CVE-2025-67901 是一个归类于 CWE-1284(输入中指定数量验证不当)的漏洞,影响 openrsync 0.5.0 及更早版本。Openrsync 是 kristapsdz 开发的一个轻量级 rsync 实现,特别用于 OpenBSD 7.8 及更早版本和其他平台。该漏洞的发生是因为服务器在处理客户端输入时,未正确验证剩余数据长度(p->rem)与指定块长度(p->len)之间的关系。具体而言,客户端可以指定一个零长度的块数据长度,而服务器未能正确处理,导致段错误(SIGSEGV)并使服务器进程崩溃。这导致了拒绝服务(DoS)状况,影响了服务的可用性。其 CVSS v3.1 评分为 5.3(中等),反映了攻击向量是基于网络的(AV:N),需要低权限(PR:L),无需用户交互(UI:N),并且攻击复杂度高(AC:H)。该漏洞不影响机密性或完整性,仅影响可用性。在披露时尚未发布任何补丁或修复,且未报告有野外已知利用。该漏洞对于依赖 openrsync 进行文件同步的环境(尤其是 OpenBSD 部署)具有重要意义,服务中断可能影响运营连续性。
潜在影响
CVE-2025-67901 的主要影响是拒绝服务,攻击者可以通过发送指定零长度数据块的畸形输入来远程崩溃 openrsync 服务器。对于欧洲组织,这可能破坏自动化文件同步过程,可能影响依赖于 openrsync 的备份操作、数据复制或部署工作流。虽然没有直接的数据泄露或完整性破坏迹象,但服务不可用可能导致运营延迟和恢复成本增加。对正常运行时间有严格要求的关键基础设施或部门,如金融、电信和政府服务,可能会受到重大干扰。由于利用需要网络访问但只需要低权限,内部威胁行为者或被入侵的主机可能触发该漏洞。缺乏补丁增加了暴露时间。在生产环境中使用 OpenBSD 7.8 或更早版本和 openrsync 的组织风险尤其高。中等严重性评级表明,在补救以防止潜在服务中断方面具有中等紧迫性。
缓解建议
- 通过实施防火墙规则限制对受信任 IP 地址或 VPN 的连接,限制对 openrsync 服务器的网络访问,减少对不受信任客户端的暴露。
- 监控 openrsync 服务器日志和系统日志中是否有意外崩溃或 SIGSEGV 事件,以便及早检测潜在的利用尝试。
- 如果 openrsync 服务不关键,则暂时禁用它,或者用其他已打补丁的同步工具替代,直到供应商补丁可用。
- 对于运行 OpenBSD 7.8 或更早版本的组织,如果新版本包含更新的 openrsync 或替代的安全文件同步工具,请考虑升级到新版本。
- 实施网络分段,将 openrsync 服务器与普通用户网络隔离,以限制攻击面。
- 与 openrsync 项目或供应商联系以获取更新和补丁,并在可用后及时应用。
- 进行内部审计,识别所有运行 openrsync 的系统,并评估它们对此漏洞的暴露情况。
- 使用入侵检测/防御系统(IDS/IPS)来检测针对 openrsync 服务的异常流量模式。
受影响国家
德国、荷兰、英国、法国、瑞典
需要更详细的分析?获取 Pro 版
Pro 功能 如需访问高级分析和更高频率限制,请联系 root@offseq.com
技术详情
数据版本: 5.2 分配者简称: mitre 日期预留: 2025-12-14T23:50:38.613Z Cvss 版本: 3.1 状态: PUBLISHED
威胁 ID: 693f50a7b0f1e1d5302d6805 添加到数据库: 2025年12月15日,上午12:04:55 最后丰富: 2025年12月15日,上午12:19:58 最后更新: 2025年12月15日,上午1:06:37 浏览量: 45
社区评论
0 条评论 众包缓解策略,共享情报背景,并对最有帮助的回复进行投票。登录添加您的声音,帮助防御者保持领先。
排序方式: 热门 最新 最旧 写一条评论
社区提示 ▼ 正在加载社区见解…
想提供缓解步骤或威胁情报背景吗?登录或创建一个帐户以加入社区讨论。
相关威胁
- CVE-2025-14694:ketr JEPaaS 中的 SQL 注入 - 中等 - 漏洞 - 2025年12月15日,星期一
- CVE-2025-14693:Ugreen DH2100+ 中的符号链接跟随 - 高危 - 漏洞 - 2025年12月15日,星期一
- CVE-2025-14692:Mayan EDMS 中的开放重定向 - 中等 - 漏洞 - 2025年12月14日,星期日
- CVE-2025-14691:Mayan EDMS 中的跨站脚本 - 中等 - 漏洞 - 2025年12月14日,星期日
- CVE-2025-67900:CWE-829 NXLog NXLog Agent 中来自不受信任控制领域的功能包含 - 高危 - 漏洞 - 2025年12月14日,星期日
操作
更新 AI 分析 PRO 更新 AI 分析需要 Pro Console 访问权限。在控制台 → 账单中升级。
请登录控制台以使用 AI 分析功能。
分享
外部链接
- NVD 数据库
- MITRE CVE
- 参考 1
- 参考 2
- 在 Google 上搜索
需要增强功能? 联系 root@offseq.com 获取 Pro 访问权限,享受改进的分析和更高的频率限制。