Popüler uygulamalarda altıya kadar güvenlik açığı açıklandı. Rsync Unix sistemleri için dosya senkronizasyon aracı, bunlardan bazıları bir istemcide isteğe bağlı kod yürütmek için kullanılabilir.
CERT Koordinasyon Merkezi (CERT/CC) “Saldırganlar, kötü amaçlı bir sunucunun kontrolünü ele geçirebilir ve bağlı herhangi bir istemcinin rastgele dosyalarını okuyabilir/yazabilir.” söz konusu bir danışma belgesinde. “SSH anahtarları gibi hassas veriler çıkarılabilir ve ~/.bashrc veya ~/.popt gibi dosyaların üzerine yazılarak kötü amaçlı kod çalıştırılabilir.”
Yığın arabelleği taşması, bilgilerin açığa çıkması, dosya sızıntısı, harici dizin dosyası yazma ve sembolik bağlantı yarış durumunu içeren eksiklikler aşağıda listelenmiştir:
- CVE-2024-12084 (CVSS puanı: 9,8) – Doğru olmayan sağlama toplamı uzunluğu kullanımı nedeniyle Rsync’te yığın arabellek taşması
- CVE-2024-12085 (CVSS puanı: 7,5) – Başlatılmamış yığın içerikleri yoluyla bilgi sızıntısı
- CVE-2024-12086 (CVSS puanı: 6.1) – Rsync sunucusu rastgele istemci dosyalarını sızdırıyor
- CVE-2024-12087 (CVSS puanı: 6,5) – Rsync’te yol geçiş güvenlik açığı
- CVE-2024-12088 (CVSS puanı: 6,5) – –safe-links seçeneğinin atlanması yol geçişine yol açar
- CVE-2024-12747 (CVSS puanı: 5.6) – Sembolik bağlantıları işlerken Rsync’te yarış durumu
Google Cloud Güvenlik Açığı Araştırması’ndan Simon Scannell, Pedro Gallegos ve Jasiel Spelman, ilk beş kusuru keşfetme ve bildirme konusunda itibar kazandı. Güvenlik araştırmacısı Aleksei Gorban, sembolik bağlantı yarış koşulu kusurundan dolayı kabul edildi.
Red Hat Ürün Güvenliği’nden Nick Tait, “En şiddetli CVE’de, bir saldırganın, sunucunun üzerinde çalıştığı makinede rastgele kod yürütmek için yalnızca genel ayna gibi bir Rsync sunucusuna anonim okuma erişimine ihtiyacı vardır.” söz konusu.
CERT/CC ayrıca, bir saldırganın CVE-2024-12084 ve CVE-2024-12085’i birleştirerek Rsync sunucusu çalıştıran bir istemcide rastgele kod yürütme gerçekleştirebileceğini de belirtti.
Güvenlik açıklarına yönelik yamalar yayınlandı Rsync sürüm 3.4.0bugün erken saatlerde kullanıma sunuldu. Güncelleştirmeyi uygulayamayan kullanıcılar için aşağıdaki azaltıcı önlemler önerilir:
- CVE-2024-12084 – CFLAGS=-DDISABLE_SHA512_DIGEST ve CFLAGS=-DDISABLE_SHA256_DIGEST ile derleyerek SHA* desteğini devre dışı bırakın
- CVE-2024-12085 – Yığın içeriğini sıfırlamak için -ftrivial-auto-var-init=zero ile derleyin
