Publicerad: 2025-01-16 14:04

Säkerhetsbrister rättas i Unix/Linux-verktyget rsync

Säkerhetsbrister har rättats i rsync, ett standardverktyg för Unix/Linux-system som används för att synkronisera filkataloger över nätverk. [1] Verktyget är en vital komponent i vanligt förekommande produkter samt egenutvecklade lösningar för bland annat backup och mjukvarudistribution.

Av totalt sex rättade brister framhålls CVE-2024-12084 som mest allvarlig med ett CVSS-score på 9.8 av 10. Hålet kan i kombination med CVE-2024-12085 utnyttjas för att fjärrexekvera skadlig kod på servrar som kör rsync. Vid framgångsrikt utnyttjande kan en hotaktör också använda åtkomsten till att utöva skadlig aktivitet mot andra användare som ansluter till samma server.

Utnyttjande av CVE-2024-12084 kan ske genom att skicka en SHA-hash längre än de förväntade 16 byten till rsync-daemon. Maximalt 16 eller 48 bytes (beroende på system) skadlig kod kan på så vis injiceras. Utnyttjande kräver att systemet tillåter hashar med SHA256 eller SHA512.

Tröskeln för utnyttjande bedöms som låg då ett angrepp endast förutsätter läsrättigheter på servern, vilket ofta är fallet på allmänt tillgängliga och speglade filservrar.

Det finns i skrivande stund inga uppgifter på aktivt utnyttjande men försök till angrepp är förväntat.

Följande CVE:er har åtgärdats i rsync version 3.4.0 och 3.4.1 [2]

CVE-2024-12084 -⁠ Heap Buffer Overflow in Checksum Parsing. Allows a remote attacker to execute arbitrary code.

CVE-2024-12085 -⁠ Info Leak via uninitialized Stack contents defeats ASLR.

CVE-2024-12086 -⁠ Server leaks arbitrary client files.

CVE-2024-12087 -⁠ Server can make client write files outside of destination directory using symbolic links.

CVE-2024-12088 -⁠ -⁠-⁠safe-⁠links Bypass.

CVE-2024-12747 -⁠ symlink race condition.

Påverkade versioner

Versioner upp till rsync 3.3.0

För lista på bekräftat sårbara system, se källa [3].

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera till version rsync 3.4.1. [4]

Kan omedelbar patchning ej utföras rekommenderas användare att stänga av tjänsten alternativt tillfälligt redigera konfigurationsfilen med “refuse options = checksum”.

Genomsök potentiellt drabbade system efter tecken på utnyttjande.

Vidare rekommenderar CERT-SE att rsync endast körs via SSH eller liknande tunnel.

Källor

[1] https://github.com/RsyncProject/rsync

[2] https://download.samba.org/pub/rsync/NEWS#3.4.1

[3] https://kb.cert.org/vuls/id/952657

[4] https://download.samba.org/pub/rsync/src/

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2025-01-17 15:20

CERT-SE:s veckobrev v.3

Det nya året har tagit fart och så även nyhetsflödet. Vi vill passa på att tipsa...

Veckobrev
2025-01-17 14:30

CERT-SE:s namn används i nätfiskekampanj

Just nu utnyttjas namnet CERT-SE i en nätfiskekampanj.
2025-01-16 14:34

Ivanti rättar brister i Ivanti Endpoint Manager

Ivanti har åtgärdat ett antal säkerhetsbrister i sin lösning Ivanti Enpoint Manager, varav fyra rankas som...

Sårbarhet Ivanti Endpoint Manager
2025-01-16 14:04

Säkerhetsbrister rättas i Unix/Linux-verktyget rsync

Säkerhetsbrister har rättats i rsync, ett standardverktyg för Unix/Linux-system som används för att synkronisera filkataloger över...

Sårbarhet rsync
2025-01-15 13:31

SAPs månatliga säkerhetsuppdateringar för januari 2025

SAP har släppt sina månatliga säkerhetsuppdateringar för januari månad. Det rör sig om totalt fjorton sårbarheter...

Sårbarhet Microsoft Patchtisdag

Nyheter