Релиз утилиты для синхронизации файлов Rsync 3.4.0

15 января 2025 года состоялся релиз открытой утилиты для синхронизации файлов Rsync 3.4.0. Исходный код проекта написан на C. Решение распространяется под лицензией GNU General Public License. Предыдущий стабильный выпуск проекта Rsync 3.3.0 состоялся в апреле 2024 года.

По информации OpenNET, в версии Rsync 3.4.0 исправлены ранее найденные ошибки, а также устранены шесть уязвимостей. Комбинация уязвимостей CVE-2024-12084 и CVE-2024-12085 позволяет клиенту добиться выполнения своего кода на сервере. Для совершения атаки достаточно анонимного подключения к серверу Rsync с доступом на чтение. Например, атака может быть совершена на зеркала различных дистрибутивов и проектов, предоставляющих возможность загрузки сборок через Rsync. Проблема также затрагивает различные приложения для синхронизации файлов и резервного копирования, использующие Rsync в качестве бэкенда, такие как Rclone, DeltaCopy и ChronoSync.

Эксплуатация этих уязвимостей на сервере позволяет злоумышленнику организовать атаку на подключающихся к серверу клиентов и добиться чтения или записи любых файлов в их системе, насколько это позволяют права доступа процесса rsync. Например, через создание вредоносных rsynс‑серверов можно организовать загрузку SSH‑ключей или добиться выполнения кода, перезаписав такие файлы, как ~/.bashrc и ~/.popt.

Для упрощения проверки обновления серверов до новой версии Rsync номер протокола в выпуске Rsync 3.4.0 повышен до 32. Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.

Выявленные уязвимости:

CVE-2024-12084 — запись за пределы выделенного буфера через передачу некорректной контрольной суммы, размер которой превышает 16 байт;

CVE-2024-120