← Back
CVE-2026-41035
high
CVSS 7.4
In rsync 3.0.1 through 3.4.1, receive_xattr relies on an untrusted length value during a qsort...
Summary
In rsync 3.0.1 through 3.4.1, receive_xattr relies on an untrusted length value during a qsort...
AI summary openai / gpt-4o
rsyncのバージョン3.0.1から3.4.1において、untrustedな長さの値に依存した結果、qsort呼び出し中にuse-after-freeが発生します。この脆弱性は、被害者が-Xフラグを使用してrsyncを実行した場合に悪用される可能性があります。Linux上の多くの一般的な構成で影響を受けることがありますが、非Linuxプラットフォームではより広く影響を受ける可能性があります。
❓ What is the problem
rsyncの特定バージョンでのuse-after-free脆弱性。
📍 Affected scope
rsync 3.0.1から3.4.1バージョンのreceive_xattr関数。
🔥 Severity
untrustedな長さの値が不正に操作され、qsort呼び出しによりuse-after-freeが発生します。主にLinuxで影響を受けますが、非Linuxプラットフォームにも広く影響します。
🔧 How to fix
rsyncを脆弱性の修正が施されたバージョンにアップデートする。
🛡️ Workaround
受信側で-X(--xattrs)オプションを使用しない。
🔍 Detection
rsyncのバージョンを確認し、3.0.1から3.4.1の範囲に該当する場合、影響を受ける可能性があります。
References
- advisory af854a3a-2127-422b-91ae-364da2661108
- advisory af854a3a-2127-422b-91ae-364da2661108
- exploit [email protected]
- issue [email protected]
- web [email protected]
- web https://nvd.nist.gov/vuln/detail/CVE-2026-41035
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c
- web https://github.com/advisories/GHSA-m34r-4v3r-pp9v
- web 0b0ca135-0b70-47e7-9f44-1890c2a1c46c