Pesquisadores do Google Cloud descobrem falhas na ferramenta de sincronização de arquivos Rsync

Até seis vulnerabilidades de segurança foram identificadas na popular ferramenta Rsync, utilizada para sincronização de arquivos em sistemas Unix. Algumas dessas falhas podem ser exploradas para executar códigos arbitrários em um cliente.

"Atacantes podem controlar um servidor malicioso e ler ou gravar arquivos arbitrários de qualquer cliente conectado", afirmou o Centro de Coordenação CERT (CERT/CC) em um comunicado. "Dados sensíveis, como chaves SSH, podem ser extraídos, e códigos maliciosos podem ser executados ao sobrescrever arquivos, como ~/.bashrc ou ~/.popt."

As vulnerabilidades, que incluem estouro de buffer no heap, vazamento de informações, exposição de arquivos, escrita de arquivos em diretórios externos e condições de corrida em links simbólicos, são listadas abaixo:

• CVE-2024-12084 (pontuação CVSS: 9.8) – Estouro de buffer no heap devido ao tratamento inadequado do comprimento do checksum no Rsync.

• CVE-2024-12085 (pontuação CVSS: 7.5) – Vazamento de informações por meio de conteúdo de pilha não inicializado.

• CVE-2024-12086 (pontuação CVSS: 6.1) – O servidor Rsync expõe arquivos arbitrários de clientes.

• CVE-2024-12087 (pontuação CVSS: 6.5) – Vulnerabilidade de travessia de caminho no Rsync.

• CVE-2024-12088 (pontuação CVSS: 6.5) – Bypass da opção --safe-links permite travessia de caminho.

• CVE-2024-12747 (pontuação CVSS: 5.6) – Condição de corrida em links simbólicos no Rsync.

Simon Scannell, Pedro Gallegos e Jasiel Spelman, do Google Cloud Vulnerability Research, foram creditados pela descoberta e relato das cinco primeiras falhas. Aleksei Gorban, pesquisador de segurança, foi reconhecido pela descoberta da falha de condição de corrida em links simbólicos.

"Na CVE mais grave, um invasor precisa apenas de acesso de leitura anônimo a um servidor Rsync, como um espelho público, para executar códigos arbitrários na máquina onde o servidor está em execução", explicou Nick Tait, da Segurança de Produtos da Red Hat.

O CERT/CC também destacou que um invasor pode combinar as vulnerabilidades CVE-2024-12084 e CVE-2024-12085 para executar códigos arbitrários em um cliente com um servidor Rsync em execução.

Correções e Mitigações: As vulnerabilidades foram corrigidas na versão 3.4.0 do Rsync, lançada hoje. Para usuários que não podem aplicar a atualização, as seguintes mitigações são recomendadas:

• CVE-2024-12084 – Desabilitar o suporte a SHA* compilando com CFLAGS=-DDISABLE_SHA512_DIGEST e CFLAGS=-DDISABLE_SHA256_DIGEST.

• CVE-2024-12085 – Compilar com -ftrivial-auto-var-init=zero para inicializar a pilha com zero.

Via - THN