北京时间2025年1月15日02:25,安全研究员Nick Tait在oss-security邮件列表中通报了rsync存在的6个安全漏洞。其中,最严重的漏洞允许攻击者仅通过匿名读取访问rsync服务器(如公共镜像),即可在服务器上执行任意代码。
漏洞详情:
- CVE-2024-12084 (CVSS: 9.8):由于对校验和长度处理不当,rsync中存在堆缓冲区溢出漏洞。当MAX_DIGEST_LEN超过固定的SUM_LENGTH(16字节)时,攻击者可在sum2缓冲区中进行越界写入。受影响版本:3.2.7至3.4.0。
- CVE-2024-12085 (CVSS: 7.5):在rsync守护进程中,比较文件校验和时,攻击者可操纵校验和长度,导致与未初始化的内存进行比较,从而每次泄露一个字节的未初始化堆栈数据。受影响版本:所有版本。
- CVE-2024-12086 (CVSS: 6.1):rsync服务器可能泄露客户端的任意文件内容。在从客户端复制文件到服务器的过程中,服务器会发送本地数据的校验和供客户端比较。通过发送特制的校验和值,攻击者可能根据客户端的响应逐字节重建这些文件的数据。受影响版本:所有版本。
- CVE-2024-12087 (CVSS: 6.5):rsync中存在路径遍历漏洞。当启用--inc-recursive选项(许多客户端默认启用)时,攻击者可利用此漏洞进行路径遍历攻击。受影响版本:所有版本。
- CVE-2024-12088 (CVSS: 6.5):rsync的--copy-dest选项存在符号链接攻击漏洞。攻击者可利用此漏洞覆盖目标目录中的文件。受影响版本:所有版本。
- CVE-2024-12089 (CVSS: 6.5):rsync的--backup-dir选项存在符号链接攻击漏洞。攻击者可利用此漏洞在备份目录中创建符号链接,导致文件覆盖。受影响版本:所有版本。
我是否受影响?
如果您从未安装rsync相关软件包(该包不在deepin 23中预装)则您不受该漏洞影响;
如果您未手动启用过rsync相关服务,则您不受该漏洞影响。
修复措施:
rsync的上游维护者已为上述漏洞准备了补丁,这些修复将包含在即将发布的上游rsync 3.4.0版本(deepin合并补丁版本为:3.3.0+ds1-3)中。
临时缓解措施:
我们强烈建议您更新到新版本,如果您想推迟更新,可采取以下措施临时缓解:
如您在rsync中不需要使用到校验和,您可以在rsync服务器端禁用checksum选项。具体方法为:
- 编辑 /etc/rsyncd.conf
- 在配置文件中添加 refuse options = checksum
- 重启 rsync 服务(systemctl restart rsync)
时间线:
- 2025年1月15日2:25:漏洞披露。
- 2025年1月15日2:25:上游发布补丁,发布rsync 3.40版本,包含漏洞修复。
- 2025年1月15日2:45:deepin sysdev组同步上游更新
- 2025年1月15日10:11:向deepin 23、deepin 25 用户推送更新
参考资料:
- oss-security通报: https://www.openwall.com/lists/oss-security/2025/01/14/3
- CERT KB: https://kb.cert.org/vuls/id/952657
我们强烈建议所有rsync用户尽快更新至3.4.0版本(deepin 版本为 3.3.0+ds1-3),以修复上述安全漏洞。