Pesquisadores do Google Cloud descobrem falhas na ferramenta de sincronização de arquivos Rsync

Sticky 15/01/2025
Captura de tela 2025 01 15 101238
Visualizações: 4

Até seis vulnerabilidades de segurança foram divulgadas na popular ferramenta de sincronização de arquivos Rsync para sistemas Unix, algumas das quais podem ser exploradas para executar código arbitrário em um cliente.

“Os invasores podem assumir o controle de um servidor malicioso e ler/escrever arquivos arbitrários de qualquer cliente conectado”, disse o CERT Coordination Center (CERT/CC) em um comunicado. “Dados sensíveis, como chaves SSH, podem ser extraídos, e código malicioso pode ser executado sobrescrevendo arquivos como ~/.bashrc ou ~/.popt.”

As deficiências, que incluem estouro de buffer de pilha, divulgação de informações, vazamento de arquivo, gravação de arquivo em diretório externo e condição de corrida de link simbólico, estão listadas abaixo –

  • CVE-2024-12084 (pontuação CVSS: 9,8) – Estouro de buffer de pilha no Rsync devido ao tratamento incorreto do comprimento da soma de verificação
  • CVE-2024-12085 (pontuação CVSS: 7,5) – Vazamento de informações por meio de conteúdo de pilha não inicializado
  • CVE-2024-12086 (pontuação CVSS: 6.1) – O servidor Rsync vaza arquivos de cliente arbitrários
  • CVE-2024-12087 (pontuação CVSS: 6,5) – Vulnerabilidade de travessia de caminho no Rsync
  • CVE-2024-12088 (pontuação CVSS: 6,5) – a opção –safe-links bypass leva à travessia do caminho
  • CVE-2024-12747 (pontuação CVSS: 5,6) – Condição de corrida no Rsync ao manipular links simbólicos

Simon Scannell, Pedro Gallegos e Jasiel Spelman do Google Cloud Vulnerability Research foram creditados por descobrir e relatar as cinco primeiras falhas. O pesquisador de segurança Aleksei Gorban foi reconhecido pela falha de condição de corrida de link simbólico.

“No CVE mais grave, um invasor só precisa de acesso de leitura anônimo a um servidor Rsync, como um espelho público, para executar código arbitrário na máquina em que o servidor está sendo executado”, disse Nick Tait, da Red Hat Product Security .

O CERT/CC também observou que um invasor poderia combinar CVE-2024-12084 e CVE-2024-12085 para obter execução arbitrária de código em um cliente que tenha um servidor Rsync em execução.

Patches para as vulnerabilidades foram lançados na versão 3.4.0 do Rsync , que foi disponibilizada hoje mais cedo. Para usuários que não conseguem aplicar a atualização, as seguintes mitigações são recomendadas –

  • CVE-2024-12084 – Desabilite o suporte SHA* compilando com CFLAGS=-DDISABLE_SHA512_DIGEST e CFLAGS=-DDISABLE_SHA256_DIGEST
  • CVE-2024-12085 – Compilar com -ftrivial-auto-var-init=zero para zerar o conteúdo da pilha

Fonte: thehackernews.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br

Outros artigos

IA Google

Google lança detecção de fraude de IA para android para combater fraude conversacional

Sticky 05/03/2025

O Google anunciou o lançamento de recursos de detecção de fraudes com inteligência artificial (IA) para proteger os usuários de dispositivos Android e suas informações pessoais. “Esses recursos visam especificamente golpes de conversação, que muitas vezes podem parecer inicialmente inofensivos antes de evoluir para situações prejudiciais”, diz o Google disse. “E mais golpistas de chamadas telefônicas […]

google

O novo recurso de e-mail protegido do Gmail permite que os usuários criem aliases para privacidade de e-mail

Sticky 18/11/2024

O Google parece estar preparando um novo recurso chamado E-mail Blindado, que permite aos usuários criar aliases de e-mail ao se inscreverem em serviços online e combater melhor o spam. O recurso foi relatado pela primeira vez pelo Android Authority na semana passada, após a desmontagem da versão mais recente do Google Play Services para Android. A ideia é […]