Foram divulgadas até seis vulnerabilidades de segurança na popular ferramenta de sincronização de arquivos Rsync para sistemas Unix, algumas das quais podem ser exploradas para executar código arbitrário em um cliente.
"Os invasores podem assumir o controle de um servidor malicioso e ler/escrever arquivos arbitrários de qualquer cliente conectado", disse o CERT Coordination Center (CERT/CC) em um comunicado.
"Dados sensíveis, como chaves SSH, podem ser extraídos, e código malicioso pode ser executado pela substituição de arquivos como ~/.bashrc ou ~/.popt."
As falhas, que incluem overflow de heap-buffer, divulgação de informações, vazamento de arquivos, escrita de arquivos em diretório externo e condição de corrida de link simbólico, estão listadas abaixo:
-
CVE-2024-12084
(pontuação CVSS: 9.8) - Overlow de heap-buffer no Rsync devido ao manuseio inadequado do comprimento do checksum;
-
CVE-2024-12085
(pontuação CVSS: 7.5) - Vazamento de informações via conteúdo de stack não inicializado;
-
CVE-2024-12086
(pontuação CVSS: 6.1) - Servidor Rsync vaza arquivos de cliente arbitrários;
--CVE-2024-12087 (pontuação CVSS: 6.5) - Vulnerabilidade de travessia de caminho no Rsync;
-
CVE-2024-12088
(pontuação CVSS: 6.5) - Opção --safe-links contornada leva a travessia de caminho;
-CVE-2024-12747 (pontuação CVSS: 5.6) - Condição de corrida no Rsync ao lidar com links simbólicos.
Simon Scannell, Pedro Gallegos e Jasiel Spelman do Google Cloud Vulnerability Research foram creditados pela descoberta e relato das cinco primeiras falhas.
O pesquisador de segurança Aleksei Gorban foi reconhecido pela falha de condição de corrida com link simbólico.
"Na CVE mais grave, um invasor apenas precisa de acesso de leitura anônimo a um servidor Rsync, como um espelho público, para executar código arbitrário na máquina em que o servidor está em execução", disse Nick Tait da Red Hat Product Security.
O CERT/CC também observou que um invasor poderia combinar
CVE-2024-12084
e
CVE-2024-12085
para alcançar execução de código arbitrário em um cliente que tenha um servidor Rsync em execução.
Patches para as vulnerabilidades foram lançados na versão 3.4.0 do Rsync, que foi disponibilizada hoje mais cedo.
Para usuários que não conseguem aplicar a atualização, as seguintes mitigações são recomendadas:
-
CVE-2024-12084
- Desativar suporte a SHA* compilando com CFLAGS=-DDISABLE_SHA512_DIGEST e -CFLAGS=-DDISABLE_SHA256_DIGEST
-
CVE-2024-12085
- Compilar com -ftrivial-auto-var-init=zero para zerar o conteúdo da stack
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...