Уязвимости в Rsync позволяют удаленно выполнять код на серверах

В новых версиях Rsync 3.4.0 исправлено шесть уязвимостей, две из которых могут быть использованы вредоносным клиентом для выполнения произвольного кода на машине с запущенным сервером Rsync.

Клиенту требуется только анонимный доступ на чтение к серверу, например, к публичным зеркалам. Кроме того, злоумышленники могут получить контроль над вредоносным сервером и читать/записывать произвольные файлы любого подключенного клиента. Чувствительные данные, такие как ключи SSH, могут быть извлечены, а вредоносный код может быть выполнен путем перезаписи таких файлов, как ~/.bashrc или ~/.popt, отмечает CERT/CC.

О Rsync и устраненных уязвимостях

Rsync – это утилита с открытым исходным кодом, используемая для синхронизации/передачи файлов и каталогов между различными системами (компьютерами, серверами, устройствами хранения данных и т. д.) и включенная по умолчанию в базовые установки некоторых дистрибутивов Linux.

Rsync также может использоваться в режиме демона и широко применяется в публичных зеркалах для эффективной синхронизации и распределения файлов между несколькими серверами, добавили в CERT/CC. Многие программы резервного копирования, такие как Rclone, DeltaCopy и ChronoSync, используют Rsync в качестве бэкэнд-программы для синхронизации файлов.

Устраненные уязвимости включают:

• CVE-2024-12084, CVE-2024-12085 и CVE-2024-12086 – недостатки в демоне Rsync, которые могут быть использованы для удаленного выполнения кода, утечки данных стека и чтения произвольных файлов с клиентской машины (когда они копируются с клиента на сервер)
• CVE-2024-12087 и CVE-2024-12088 затрагивают клиент Rsync и могут позволить злонамеренному серверу записывать вредоносные файлы в произвольные места на подключенных клиентах
• CVE-2024-12747 связано с некорректной работой Rsync с символическими ссылками во время состояния гонки и может быть использовано для утечки конфиденциальной информации злоумышленнику

Все они затрагивают версии Rsync до v3.4.0, а CVE-2024-12084 также присутствует в v3.2.7 и выше. Устранение первых двух уязвимостей уже доступно здесь.

О первых пяти уязвимостях сообщили Саймон Сканнелл, Педро Галлегос и Джасиэль Спелман из Google Cloud Vulnerability Research, а о последней – Алексей Горбань.

Что делать?

Сопровождающий Rsync выпустил версию с исправлениями во вторник, и пользователям следует внедрить их как можно скорее.

Поскольку Rsync может распространяться в комплекте, убедитесь, что любое программное обеспечение, предоставляющее такие обновления, также поддерживается в актуальном состоянии для устранения этих уязвимостей, говорится в сообщении CERT/CC.

Обновленные пакеты Rsync уже выпущены для Ubuntu и Debian.

В список затронутых CERT/CC ОС на данный момент входят AlmaLinux OS, Arch Linux, Gentoo Linux, NixOS, Red Hat и SmartOS (т.е. платформа управления облаком Triton DataCenter). Список будет обновляться по мере поступления дополнительной информации.

Подробнее