Rsync güvenlik açıkları sunucularda uzaktan kod yürütülmesine olanak tanır, hızlı bir şekilde yama yapın!


Rsync’in en yeni sürümlerinde (v3.4.0) altı güvenlik açığı giderildi; bunlardan ikisi kötü niyetli bir istemci tarafından, çalışan bir Rsync sunucusuna sahip bir makinede rastgele kod yürütülmesini sağlamak için kullanılabilir.

Rsync güvenlik açıkları

“İstemci, genel aynalar gibi sunucuya yalnızca anonim okuma erişimi gerektiriyor. Ayrıca saldırganlar, kötü amaçlı bir sunucunun kontrolünü ele geçirebilir ve bağlı herhangi bir istemcinin rastgele dosyalarını okuyabilir/yazabilir. CERT/CC, SSH anahtarları gibi hassas verilerin çıkarılabileceğini ve ~/.bashrc veya ~/.popt gibi dosyaların üzerine yazılarak kötü amaçlı kodların yürütülebileceğini belirtti.

Rsync ve düzeltilen güvenlik açıkları hakkında

Rsync, farklı sistemler (bilgisayarlar, sunucular, depolama aygıtları vb.) arasında dosya ve dizinleri senkronize etmek / aktarmak için kullanılan açık kaynaklı bir yardımcı programdır ve bazı Linux dağıtımlarının temel kurulumlarına varsayılan olarak dahil edilir.

CERT/CC, “Rsync ayrıca Daemon modunda da kullanılabilir ve dosyaları birden fazla sunucu arasında verimli bir şekilde senkronize etmek ve dağıtmak için genel aynalarda yaygın olarak kullanılır” diye ekledi. “Rclone, DeltaCopy ve ChronoSync gibi birçok yedekleme programı, dosya senkronizasyonu için arka uç yazılımı olarak Rsync’i kullanıyor.”

Düzeltilen güvenlik açıkları şunları içerir:

  • CVE-2024-12084, CVE-2024-12085 Ve CVE-2024-12086 Uzaktan kod yürütme, yığın verilerinin sızması ve istemcinin makinesinden rastgele dosyaların okunması (bir istemciden sunucuya kopyalanırken) için kullanılabilecek Rsync arka plan programındaki kusurlardır.
  • CVE-2024-12087 Ve CVE-2024-12088 Rsync istemcisini etkileyebilir ve kötü amaçlı bir sunucunun, bağlı istemcilerdeki rastgele konumlara kötü amaçlı dosyalar yazmasına izin verebilir
  • CVE-2024-12747 Rsync’in bir yarış koşulu sırasında sembolik bağlantıları hatalı şekilde işlemesinden kaynaklanır ve hassas bilgileri saldırgana sızdırmak için kullanılabilir

Bunların tümü v3.4.0’dan önceki Rsync sürümlerini etkiler ve CVE-2024-12084 ayrıca v3.2.7 ve sonraki sürümlerde de mevcuttur. İlk iki güvenlik açığından bazıları için azaltıcı önlemler mevcuttur (bkz. buraya).

İlk beş kusur Google Cloud Güvenlik Açığı Araştırması’ndan Simon Scannell, Pedro Gallegos ve Jasiel Spelman tarafından, sonuncusu ise Aleksei Gorban tarafından bildirildi.

Ne yapalım?

Rsync yöneticisi Salı günü düzeltmeleri içeren bir sürüm yayınladı ve kullanıcıların bunları mümkün olan en kısa sürede uygulaması gerekiyor.

CERT/CC, “Rsync paket halinde dağıtılabildiğinden, bu tür güncellemeleri sağlayan tüm yazılımların da bu güvenlik açıklarını gidermek için güncel tutulduğundan emin olun” diyor.

Güncellenmiş Rsync paketleri Ubuntu ve Debian için zaten yayınlanmıştır.

CERT/CC’nin etkilenen işletim sistemleri listesi şu anda AlmaLinux OS, Arch Linux, Gentoo Linux, NixOS, Red Hat ve SmartOS’u (yani Triton DataCenter bulut yönetim platformu) içermektedir. Daha fazla bilgi geldikçe liste güncellenecektir.




Source link