LINUX.ORG.RU
НовостиOpen Source

Rsync 3.4.0

 ,


0

2

Обновлена утилита для синхронизации файлов Rsync с устранением 6 достаточно критичных уязвимостей. Для совершения атаки с применением некоторых их них достаточно анонимного подключения к серверу Rsync с доступом на чтение.

Исправленные уязвимости:

  • CVE-2024-12084 — запись за пределы выделенного буфера через передачу некорректной контрольной суммы, размер которой превышает 16 байт.
  • CVE-2024-12085 — утечка содержимого неинициализированных данных из стека (по одному байту за раз) при выполнении операций сравнения контрольных сумм некорректного размера.
  • CVE-2024-12086 — получение доступа сервера к содержимому произвольных файлов из системы клиента через генерацию сервером некорректных коммуникационных токенов и контрольных сумм в процессе копирования файлов от клиента на сервер (определение содержимого байт за байтом через подбор контрольной суммы).
  • CVE-2024-12087 — выход за пределы базового каталога при использовании опции --inc-recursive (включается по умолчанию для многих флагов). Уязвимость вызвана отсутствуем должной проверки символических ссылок и позволяет записать файлы за пределами указанного клиентом целевого каталога. Подконтрольный атакующему сервер может использовать уязвимость для атаки на систему подключившегося клиента.
  • CVE-2024-12088 — некорректная проверка символических ссылок, указывающих на другие символические ссылки, при использовании опции --safe-links. Проблема даёт возможность выйти за пределы базового каталога и записать данные в любой файл в системе, насколько это позволяют права доступа.
  • CVE-2024-12747 — состояние гонки при работе с символическими ссылками, позволяющее пользователю повысить свои привилегии и получить доступ к привилегированным файлам на сервере.

Данный список устраненных уязвимостей взят с сайта OpenNET: https://www.opennet.ru/opennews/art.shtml?num=62557

Другие изменения в новой версии:

  • configure.ac: исправлена ошибка проверки IPv6 из-за отсутствующего типа возврата.
  • CI: перенесена сборка для FreeBSD в GitHub Actions.
  • Добавлена подсказка, что прокси может обрабатывать как обычный, так и SSL поток одновременно.
  • Устранено предупреждение о неиспользуемой переменной.
  • Обновление popt до версии 1.19.
  • Поддержка: добавлен скрипт install_deps_ubuntu.sh.
  • CI: исправлены правила для триггеров.
  • CI: добавлена сборка для Solaris.
  • Apple silicon linker path details.
  • acls: синхронизация типа для orig_umask и устранение предупреждений компиляции для macOS.
  • Исправлены различные предупреждения, найденные clang-16.
  • rrsync: исправлено неверное название параметра в SYNOPSIS мануала.
  • Введен PTR_SUB.
  • Добавлена возможность базовой проверки подключения через rrsync.
  • В случае, если не используется встроенная zlib, используется libcrypto.
  • Корректировка для GCC15(-std=gnu23): исправлен каст указателя функции в qsort().
  • Исправлены опечатки в мануале.

>>> Подробности

★★★★

Проверено: CrX ()
Последнее исправление: CrX (всего исправлений: 1)
Релиз Linux Mint 22.1 «Xia»

запись за пределы выделенного буфера через передачу некорректной контрольной суммы, размер которой превышает 16 байт.

Даже комментировать не хочу.

Camel ★★★★★
()

Исправленные уязвимости

Чет совсем решето. С другой стороны не видел чтоб rsync использовали для скидывания данных на «чужой» сервер, но оказывается и такое есть (нагуглился https://rsync.net)

micronekodesu ★★★
()
Ответ на: комментарий от gaylord

Нет, это же нубокодеры. Они везде. Вот в моей проге для синхронизации никаких дыр бы не было.

configure.ac: исправлена ошибка проверки IPv6 из-за отсутствующего типа возврата.

И никаких ipv6 с автотулзами.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 4)
Ответ на: комментарий от micronekodesu

Раньше использовали для синхронизации зеркал репозиториев дистров.

Думаю и сейчас используют. Как раз доступ ro из инета, так что актуально, тем более что ключи там же лежат публичные.

usermod
()

Соглашусь с комментаторами. Дырявый код, это особенность сишечки. В данном случае код старый, давно вдоль и поперек проверенный и давно ннеизменный и такие стандартные ошибки, которые должен отслеживать компилятор, а не это вот все.

Да и сборка ужасная. Было бы очень интересно увидеть порт осинка на Раст.

usermod
()
Последнее исправление: usermod (всего исправлений: 1)

Для совершения атаки с применением некоторых их них достаточно анонимного подключения к серверу Rsync с доступом на чтение.

Только один момент - сервер rsync никто наружу не выставляет. Вообще никто. Типовое использование rsync - поверх ssh ;)

router ★★★★★
()
Ответ на: комментарий от firkax

Это не отменяет того что у него, судя по перечисленным CVE, помойка в коде.

В любой популярной программе на C выгребены десятки подобных проблем. В твоей их нет только потому что туда просто никто не смотрел, либо твоего кода слишком мало.

gaylord
()
Ответ на: комментарий от router

как раз написали, выставляют, для синхронизации зеркал

sena ★★
()
Ответ на: комментарий от router

ой вы !! да ладно !! используют только в путь

https://www.debian.org/CD/mirroring/#rsync

репозитории убунты доступны по rsync.

причем яндекс-зеркало точно поддерживало rsync, оттуда качал.
остальные не помню, но у многих видел rsync в методах доступа.

ибо удобная вещчъ для больших объемов большого количества файлов.

а вот он красивый список
https://launchpad.net/ubuntu/+archivemirrors

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 3)

запись за пределы выделенного буфера

Никогда такого не было и внезапно опять.

WatchCat ★★★★★
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.
Релиз Linux Mint 22.1 «Xia»
Open Source