Se han revelado hasta seis vulnerabilidades de seguridad en el popular sincronización Herramienta de sincronización de archivos para sistemas Unix, algunos de los cuales podrían explotarse para ejecutar código arbitrario en un cliente.
“Los atacantes pueden tomar el control de un servidor malicioso y leer/escribir archivos arbitrarios de cualquier cliente conectado”, afirma el Centro de Coordinación del CERT (CERT/CC) dicho en un aviso. “Se pueden extraer datos confidenciales, como claves SSH, y se puede ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt”.
Las deficiencias, que incluyen desbordamiento del buffer, divulgación de información, fuga de archivos, escritura de archivos en directorios externos y condiciones de carrera de enlaces simbólicos, se enumeran a continuación:
- CVE-2024-12084 (Puntuación CVSS: 9,8) – Desbordamiento del búfer de montón en Rsync debido a un manejo inadecuado de la longitud de la suma de comprobación
- CVE-2024-12085 (Puntuación CVSS: 7,5) – Fuga de información a través de contenidos de pila no inicializados
- CVE-2024-12086 (Puntuación CVSS: 6.1) – El servidor Rsync filtra archivos de cliente arbitrarios
- CVE-2024-12087 (Puntuación CVSS: 6,5) – Vulnerabilidad de recorrido de ruta en Rsync
- CVE-2024-12088 (Puntuación CVSS: 6,5) – La opción de bypass de enlaces seguros conduce a un recorrido de ruta
- CVE-2024-12747 (Puntuación CVSS: 5,6) – Condición de carrera en Rsync al manejar enlaces simbólicos
A Simon Scannell, Pedro Gallegos y Jasiel Spelman de Google Cloud Vulnerability Research se les atribuye el descubrimiento y el informe de las primeras cinco fallas. El investigador de seguridad Aleksei Gorban ha sido reconocido por la falla de la condición racial del vínculo simbólico.
“En el CVE más severo, un atacante sólo requiere acceso de lectura anónimo a un servidor Rsync, como un espejo público, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor”, Nick Tait de Red Hat Product Security dicho.
CERT/CC también señaló que un atacante podría combinar CVE-2024-12084 y CVE-2024-12085 para lograr la ejecución de código arbitrario en un cliente que tenga un servidor Rsync en ejecución.
Se han publicado parches para las vulnerabilidades en Rsync versión 3.4.0que estuvo disponible hoy. Para los usuarios que no pueden aplicar la actualización, se recomiendan las siguientes mitigaciones:
- CVE-2024-12084 – Deshabilite el soporte SHA* compilando con CFLAGS=-DDISABLE_SHA512_DIGEST y CFLAGS=-DDISABLE_SHA256_DIGEST
- CVE-2024-12085 – Compile con -ftrivial-auto-var-init=zero para poner a cero el contenido de la pila
About the Author
