漏洞关键信息 名称: Pre-1.2.5 archives spoofing vulnerability 严重性: Moderate 影响: Package: borgbackup (pip) Affected versions: <1.2.5 Patched versions: 1.2.6 描述: CVE ID: CVE-2023-36811 Impact: - 加密认证方案中的一个漏洞允许攻击者伪造档案,可能间接导致存储库中的备份数据丢失。 - 攻击需要具备以下条件: 1. 插入文件(附加额外头部)进入备份 2. 获取写入访问存储库的权限 - 此漏洞不会泄露明文给攻击者,也不会影响现有档案的真实性。 - 创建空或小档案的可信伪造档案可能是可行的,但对于大档案则不太可能。 修复: Patches: - 此问题已在 borgbackup 1.2.5 中修复。 - 但是,1.2.5 更新说明存在漏洞,因此在文档和代码中包含重要修复的 1.2.6 在一天后发布。 - 此外,要安装修复代码,用户必须按照最新版本更改日志中记录的升级过程进行操作。 替代方案: 在“borg check --repair”后和“borg prune”之前,通过检查档案(时间戳和内容有效并符合预期),可以避免在被攻击后数据丢失。 参考: https://github.com/borgbackup/borg/blob/1.2.6/docs/changes.rst#pre-125-archives-spoofing-vulnerability-cve-2023-36811