Pesquisadores do Google Cloud descobrem falhas na ferramenta de sincronização de arquivos Rsync

Sticky 15/01/2025

Até seis vulnerabilidades de segurança foram divulgadas na popular ferramenta de sincronização de arquivos Rsync para sistemas Unix, algumas das quais podem ser exploradas para executar código arbitrário em um cliente.

“Os invasores podem assumir o controle de um servidor malicioso e ler/escrever arquivos arbitrários de qualquer cliente conectado”, disse o CERT Coordination Center (CERT/CC) em um comunicado. “Dados sensíveis, como chaves SSH, podem ser extraídos, e código malicioso pode ser executado sobrescrevendo arquivos como ~/.bashrc ou ~/.popt.”

As deficiências, que incluem estouro de buffer de pilha, divulgação de informações, vazamento de arquivo, gravação de arquivo em diretório externo e condição de corrida de link simbólico, estão listadas abaixo –

CVE-2024-12084 (pontuação CVSS: 9,8) – Estouro de buffer de pilha no Rsync devido ao tratamento incorreto do comprimento da soma de verificação
CVE-2024-12085 (pontuação CVSS: 7,5) – Vazamento de informações por meio de conteúdo de pilha não inicializado
CVE-2024-12086 (pontuação CVSS: 6.1) – O servidor Rsync vaza arquivos de cliente arbitrários
CVE-2024-12087 (pontuação CVSS: 6,5) – Vulnerabilidade de travessia de caminho no Rsync
CVE-2024-12088 (pontuação CVSS: 6,5) – a opção –safe-links bypass leva à travessia do caminho
CVE-2024-12747 (pontuação CVSS: 5,6) – Condição de corrida no Rsync ao manipular links simbólicos

Simon Scannell, Pedro Gallegos e Jasiel Spelman do Google Cloud Vulnerability Research foram creditados por descobrir e relatar as cinco primeiras falhas. O pesquisador de segurança Aleksei Gorban foi reconhecido pela falha de condição de corrida de link simbólico.

“No CVE mais grave, um invasor só precisa de acesso de leitura anônimo a um servidor Rsync, como um espelho público, para executar código arbitrário na máquina em que o servidor está sendo executado”, disse Nick Tait, da Red Hat Product Security .

O CERT/CC também observou que um invasor poderia combinar CVE-2024-12084 e CVE-2024-12085 para obter execução arbitrária de código em um cliente que tenha um servidor Rsync em execução.

Patches para as vulnerabilidades foram lançados na versão 3.4.0 do Rsync , que foi disponibilizada hoje mais cedo. Para usuários que não conseguem aplicar a atualização, as seguintes mitigações são recomendadas –

CVE-2024-12084 – Desabilite o suporte SHA* compilando com CFLAGS=-DDISABLE_SHA512_DIGEST e CFLAGS=-DDISABLE_SHA256_DIGEST
CVE-2024-12085 – Compilar com -ftrivial-auto-var-init=zero para zerar o conteúdo da pilha

Fonte: thehackernews.com

Administrador Sistema

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br