Ve známém nástroji pro synchronizaci souborů Rsync pro unixové systémy bylo odhaleno šest bezpečnostních chyb, z nichž některé lze zneužít ke spuštění libovolného kódu na klientovi. Útočníci mohou převzít kontrolu nad serverem a poté číst i zapisovat libovolné soubory připojených klientů.
Může jít o citlivá data, jako například klíče pro SSH nebo jiné informace. Přepsáním souborů jako ~/.bashrc je pak možné u klienta spustit vlastní kód. Takto vypadá seznam nalezených chyb:
- CVE-2024–12084 (CVSS score: 9.8) – Heap-buffer overflow in Rsync due to improper checksum length handling
- CVE-2024–12085 (CVSS score: 7.5) – Information leak via uninitialized stack contents
- CVE-2024–12086 (CVSS score: 6.1) – Rsync server leaks arbitrary client files
- CVE-2024–12087 (CVSS score: 6.5) – Path traversal vulnerability in Rsync
- CVE-2024–12088 (CVSS score: 6.5) – –safe-links option bypass leads to path traversal
- CVE-2024–12747 (CVSS score: 5.6) – Race condition in Rsync when handling symbolic links
Chyby je možné zneužít k útoku na server, kdy útočníkovi stačí jen anonymní přístup k tomu, aby na serveru spustil vlastní kód. Takto by bylo možné napadnout například veřejná zrcadla některých distribucí a poté infikovat jednotlivé klienty. Proto je potřeba co nejdříve aktualizovat své systémy.
Prvních pět z těchto chyb odhalili Simon Scannell, Pedro Gallegos a Jasiel Spelman z týmu Google Cloud Vulnerability Research. Šestou chybu pak odhalil bezpečnostní výzkumník Aleksei Gorban. Oprava je součástí čerstvě vydaného Rsync 3.4.0 a linuxové distribuce už začaly uživatelům posílat opravené verze starších balíčků.
