HackerNews 编译,转载请注明出处:
Unix系统上流行的Rsync文件同步工具被曝存在多达六个安全漏洞,其中部分漏洞可能被利用来在客户端执行任意代码。
“攻击者可以控制恶意服务器,并读取/写入任何已连接客户端的任意文件,”计算机应急响应小组协调中心(CERT/CC)在一份公告中表示,“诸如SSH密钥等敏感数据可以被提取,通过覆盖/.bashrc或/.popt等文件,恶意代码可以被执行。”
这些漏洞包括堆缓冲区溢出、信息泄露、文件泄露、外部目录文件写入和符号链接竞态条件,具体如下:
- CVE-2024-12084(CVSS评分:9.8):由于校验和不正确长度处理导致的Rsync堆缓冲区溢出CVE-2024-12085(CVSS评分:7.5):通过未初始化栈内容的信息泄露CVE-2024-12086(CVSS评分:6.1):Rsync服务器泄露任意客户端文件CVE-2024-12087(CVSS评分:6.5):Rsync的路径遍历漏洞CVE-2024-12088(CVSS评分:6.5):–safe-links选项绕过导致路径遍历CVE-2024-12747(CVSS评分:5.6):Rsync在处理符号链接时的竞态条件
谷歌云漏洞研究团队的西蒙·斯坎奈尔、佩德罗·加莱戈斯和杰西尔·斯佩尔曼被认定为前五个漏洞的发现者和报告者。安全研究人员阿列克谢·戈尔班被认定为符号链接竞态条件漏洞的发现者。
“在最严重的CVE漏洞中,攻击者仅需要对Rsync服务器(如公共镜像)具有匿名读取访问权限,即可在服务器运行的机器上执行任意代码,”红帽产品安全部门的尼克·泰特表示。
CERT/CC还指出,攻击者可以结合CVE-2024-12084和CVE-2024-12085漏洞,在运行Rsync服务器的客户端上实现任意代码执行。
针对这些漏洞的补丁已在今天早些时候发布的Rsync 3.4.0版本中提供。对于无法应用更新的用户,建议采取以下缓解措施:
- CVE-2024-12084:通过使用CFLAGS=-DDISABLE_SHA512_DIGEST和CFLAGS=-DDISABLE_SHA256_DIGEST编译禁用SHA*支持CVE-2024-12085:使用-ftrivial-auto-var-init=zero编译,将栈内容清零
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
