В версии Rsync 3.4 исправлены шесть уязвимостей в системе безопасности

Опубликовано автором

Широко распространенный инструмент синхронизации файлов Rsync только что выпустил свою последнюю версию, 3.4, в которой устранены шесть уязвимостей, затрагивающих Rsync версии 3.3 и ниже.

CVE-2024-12084: Дефект переполнения буфера на основе кучи в демоне rsync. Это происходит, когда длина вредоносной контрольной суммы превышает 16 байт, что позволяет злоумышленникам записывать данные за пределы границ.

CVE-2024-12085: Дефект в демоне rsync проявляется при сравнении контрольных сумм файлов. Злоумышленники могут манипулировать длиной контрольной суммы, сравнивая ее с неинициализированной памятью, что приводит к утечке одного байта данных из стека за раз.

CVE-2024-12086: Дефект в rsync может позволить вредоносному серверу считывать файлы с клиентской машины. Отправив специально созданные контрольные суммы во время копирования файлов, злоумышленники могут восстановить содержимое файла побайтово.

CVE-2024-12087: Дефект обхода пути в rsync позволяет злонамеренному серверу записывать файлы за пределами предполагаемого каталога. Это происходит из-за опции -inc-recursive и неадекватных проверок симлинков.

CVE-2024-12088: Недостаток в опции rsyncs -safe-links, которая не проверяет вложенные симлинки. Это может привести к обходу путей и записи файлов вне предполагаемого каталога.

CVE-2024-12747: Состояние гонки при обработке симлинков в rsyncs позволяет обойти стандартный пропуск ссылок. Если злоумышленник в нужный момент заменит обычный файл на симлинк, он сможет получить доступ к конфиденциальной информации или повысить привилегии.

Помимо этого, Rsync 3.4 включает в себя следующие заметные изменения:

  • Решена проблема, связанная с отсутствием возвращаемого типа в проверке IPv6, что обеспечивает бесперебойную работу IPv6.
  • Переместили конвейер непрерывной интеграции (CI) FreeBSD на GitHub Actions.
  • Предоставлены подсказки, позволяющие одному прокси управлять обычным и SSL-потоками одновременно.
  • Отключены предупреждения компилятора о неиспользуемых переменных, что уменьшает беспорядок в коде.
  • Обновлен до Popt 1.19 для улучшения разбора командной строки и повышения согласованности.
  • Добавлен скрипт (install_deps_ubuntu.sh) для упрощения установки необходимых зависимостей на системы Ubuntu.
  • Расширен охват за счет включения специальной цели сборки для Solaris, что расширило поддержку операционных систем.
  • Обновлены пути компоновщика для устройств Apple Silicon, чтобы обеспечить бесперебойную компиляцию и компоновку.

Всем, кто использует старые версии Rsync, следует обратить внимание на упомянутые выше CVE и обновиться до последней версии v3.4. Для получения дополнительной информации см. журнал изменений.