Unix 平台流行的文件同步工具 rsync 日前被爆出多个安全漏洞,当然这些漏洞已经修复所以才会被披露,使用 rsync 的用户建议立即升级到 3.4.0+ 版封堵漏洞。
借助这些漏洞攻击者可以控制恶意服务器并读取、写入任何已连接的客户端的任意文件,包括但不限于用来提取敏感数据例如 SSH 密钥或通过覆盖~/.bashrc 和~/.popt 等文件执行恶意代码。
涉及到的安全漏洞如下:
CVE-2024-12084:CVSS 评分 9.8 分,由于校验和长度处理不当导致 rsync 中的缓冲区堆栈溢出
CVE-2024-12085:CVSS 评分 7.5,通过未初始化的堆栈内容泄露信息
CVE-2024-12086:CVSS 评分 6.1,rsync 服务器泄露任意客户端文件
CVE-2024-12087:CVSS 评分 6.5,rsync 中的路径遍历漏洞
CVE-2024-12088:CVSS 评分 6.5,–safe-links 选项绕过导致路径遍历
CVE-2024-12747:CVSS 评分 5.6,处理符号链接时 rsync 中的竞争条件
以上 6 个安全漏洞中的前 5 个都是由谷歌云漏洞研究团队发现的,第 6 个漏洞则是由安全研究人员 Aleksei Gorban 发现的,目前这些漏洞都已经在 rsync 3.4.0 版中修复。
红帽产品安全部门称:在最严重的漏洞中攻击者只需要对 rsync 服务器例如公共镜像镜像匿名读取访问即可在运行该服务器的机器上执行任意代码,这种情况对大量使用 rsync 的镜像网站来说也构成了极大的威胁。
而使用 CVE-2024-12084 和 12085 则可以在运行 rsync 服务器的客户端上实现任意代码,考虑到这些漏洞的危害性,红帽建议使用 rsync 的用户尽快升级。
下载地址:https://github.com/RsyncProject/rsync/releases
如果暂时无法升级到最新版修复漏洞,则可以通过以下方式进行缓解:
1. 针对 CVE-2024-12084 漏洞:通过使用 CFLAGS=-DDISABLE_SHA512_DIGEST 和 CFLAGS=-DDISABLE_SHA256_DIGEST 进行编译禁用 SHA* 支持
2. 针对 CVE-2024-12085 漏洞:使用 -ftrivial-auto-var-init=zero 进行编译以将堆栈内容清零
