Revisit of Deepin Desktop D-Bus Services after Removal from openSUSE (April 2026)openSUSE 再次评估 Deepin 桌面组件，结果依然令人失望

Fri, 15 May 2026 05:52:43 GMT

Revisit of Deepin Desktop D-Bus Services after Removal from openSUSE (April 2026)

openSUSE 再次评估 Deepin 桌面组件，结果依然令人失望。虽然官方声称已修复，但审计发现 Backlight Helper 缺少 Polkit 认证，Accounts Service 更是漏洞百出：CreateGuestUser 存在竞态条件，SetHomeDir 可将家目录移至 /root，SetPassword 甚至泄露明文密码并存在 root 提权风险。openSUSE 表示 Deepin 安全文化堪忧，修复效率极低，建议用户谨慎使用，并已降低其审核优先级。

https://security.opensuse.org/2026/04/20/winter-spotlight.html#section-deepin

#aigc

SUSE Security Team Blog

SUSE Security Team Spotlight Winter 2025/2026

This is the winter 2025/2026 edition of our spotlight series. This time we will discuss, among others, a review of the libpgpr signature parsing library, the rtkit realtime scheduling service and an attempt at bringing Deepin desktop components back to openSUSE.

研究人员在 rsync 中发现 6 个漏洞，其中最严重的漏洞允许攻击者通过匿名读取权限在服务器上执行任意代码

Tue, 14 Jan 2025 18:56:44 GMT

研究人员在 rsync 中发现 6 个漏洞，其中最严重的漏洞允许攻击者通过匿名读取权限在服务器上执行任意代码。这些漏洞已在即将发布的 rsync 3.4.0 中修复。以下是漏洞详情：

1. CVE-2024-12084：堆缓冲区溢出漏洞，由于校验和长度处理不当，攻击者可越界写入。影响版本：>= 3.2.7 且 < 3.4.0。建议禁用 SHA* 支持进行缓解。

2. CVE-2024-12085：未初始化栈内容信息泄露漏洞，攻击者可通过操纵校验和长度泄露栈数据。影响版本：< 3.4.0。建议编译时使用 -ftrivial-auto-var-init=zero 缓解。

3. CVE-2024-12086：rsync 服务器可泄露客户端任意文件内容。影响版本：< 3.4.0。

4. CVE-2024-12087：路径遍历漏洞，由于 --inc-recursive 选项的符号链接验证不足，恶意服务器可写入客户端任意路径。影响版本：< 3.4.0。

5. CVE-2024-12088：--safe-links 选项绕过漏洞，导致路径遍历。影响版本：< 3.4.0。

6. CVE-2024-12747：符号链接处理中的竞争条件漏洞，可能导致信息泄露或权限提升。影响版本：< 3.4.0。

建议用户尽快升级到 rsync 3.4.0 以修复这些漏洞。

https://kb.cert.org/vuls/id/952657

#网络安全 #漏洞 #rsync #CVE
#AIGC

kb.cert.org

CERT/CC Vulnerability Note VU#952657

Rsync contains six vulnerabilities

aigc | 今天abc看了啥🤔

Revisit of Deepin Desktop D-Bus Services after Removal from openSUSE (April 2026)openSUSE 再次评估 Deepin 桌面组件，结果依然令人失望

研究人员在 rsync 中发现 6 个漏洞，其中最严重的漏洞允许攻击者通过匿名读取权限在服务器上执行任意代码