Az Arch Linux projekt biztonsági csapatának levelezőlistájában figyelmeztetést adott ki az rsync csomaggal kapcsolatban, amely több kritikus sebezhetőséget tartalmaz. Az érintett verziók – 3.4.0-1 előttiek – számos biztonsági problémát hordoznak, beleértve a tetszőleges kódfuttatást, fájlfeltöltést, információszivárgást és privilégiumemelkedést. A hibák lehetővé tehetik, hogy egy támadó súlyos károkat okozzon egy rsync szerver vagy kliens működésében.
Tartalomjegyzék

Az rsync sebezhetőségek részletezése
A legsúlyosabb probléma, a CVE-2024-12084, egy heap-alapú puffer túlcsordulás, amely hibásan kezeli a támadó által manipulált ellenőrzőösszeg hosszakat. Ez lehetővé teszi a puffer túlírását, ami tetszőleges kódfuttatáshoz vezethet.
Egy másik hiba, a CVE-2024-12085, lehetőséget ad arra, hogy támadók inicializálatlan memória bájtjait szivárogtassák ki az ellenőrzőösszegek összehasonlításakor. Hasonlóképpen, a CVE-2024-12086 egy olyan sebezhetőség, amely lehetővé teszi, hogy egy szerver tetszőleges fájlok tartalmát rekonstruálja egy kliens gépén, kihasználva a szoftver ellenőrzőösszeg-küldési folyamatát.
További problémák közé tartozik a CVE-2024-12087 és a CVE-2024-12088, amelyek útvonal-bejárási hibák révén lehetővé teszik fájlok írását a kliens által megadott könyvtáron kívülre. A CVE-2024-12747 pedig egy versenyhelyzetet használ ki, amely lehetővé teszi szimbolikus linkekkel történő manipulációt, érzékeny adatok szivárogtatásához és esetleges privilégiumemelkedéshez vezetve.
Javasolt intézkedés
Az Arch Linux biztonsági csapata javasolja a szoftvercsomag azonnali frissítését a 3.4.0-1 verzióra a következő paranccsal:
pacman -Syu „rsync>=3.4.0-1”
A hibák javítása az rsync 3.4.0 verziójában már elérhető, de cikkünk megjelenésének pillanatában a pacmanban már a 3.4.1-1 verziószámú újabb hotfix is elérhető és frissíthető. Felhasználóknak azt tanácsolják, hogy az érintett verziók használatát kerüljék, mivel ezek támadók számára könnyű célpontot jelenthetnek. A biztonsági sebezhetőségekről további részleteket az Arch Linux levelezőlista bejegyzésében olvashattok.