Mastodon
Zuletzt aktualisiert am
Linuxiac.com in deutscher Übersetzung
Bobby 🇬🇧 Borisov

Rsync 3.4 bringt Patches für sechs Sicherheitslücken

Bobby Borisov 😛 Christian Spaan

Rsync 3.4 enthält Patches für sechs Sicherheitslücken, darunter Pufferüberläufe und Probleme im Umgang mit Symlinks, sowie verbesserte Kompatibilität und CI-Updates.
Eine Übersetzung von 🇬🇧 Linuxiac.com

Rsync 3.4
Rsync 3.4

Das weit verbreitete Dateisynchronisierungstool Rsync hat gerade seine neueste Version 3.4 veröffentlicht, die sechs Schwachstellen behebt, die Rsync v3.3 und darunter betreffen.

CVE-2024-12084: Ein Heap-basierter Pufferüberlauf im rsync-Daemon. Er tritt auf, wenn eine bösartige Prüfsummenlänge 16 Bytes überschreitet, was Angreifern erlaubt, Daten außerhalb der Grenzen zu schreiben.

CVE-2024-12085: Eine Schwachstelle im rsync-Daemon tritt bei Dateiprüfsummenvergleichen auf. Angreifer können die Prüfsummenlängen manipulieren, um sie mit nicht initialisiertem Speicher zu vergleichen, wodurch jeweils ein Byte der Stack-Daten verloren geht.

CVE-2024-12086: Durch eine Schwachstelle in rsync kann ein bösartiger Server Dateien von einem Client-Rechner lesen. Durch das Senden speziell gestalteter Prüfsummen während des Dateikopierens können Angreifer den Dateiinhalt Byte für Byte rekonstruieren.

CVE-2024-12087: Ein Pfad-Traversal-Fehler in rsync ermöglicht es einem böswilligen Server, Dateien außerhalb des vorgesehenen Verzeichnisses zu schreiben. Dies resultiert aus der Option "-inc-recursive" und unzureichenden Symlink-Überprüfungen.

CVE-2024-12088: Ein Fehler in der "-safe-links"-Option von rsync versagt bei der Überprüfung von verschachtelten Symlinks. Dies kann dazu führen, dass Pfade durchlaufen werden und Dateien außerhalb des erwarteten Verzeichnisses geschrieben werden.

CVE-2024-12747: Eine Race Condition in der Symlink-Behandlung von rsync kann das standardmäßige Link-Skipping umgehen. Wenn ein Angreifer zum richtigen Zeitpunkt eine reguläre Datei durch einen Symlink ersetzt, kann er auf sensible Informationen zugreifen oder seine Privilegien erweitern.

Abgesehen davon enthält Rsync 3.4 auch die folgenden bemerkenswerten Änderungen:

  • Ein Problem im Zusammenhang mit einem fehlenden Rückgabetyp in der IPv6-Prüfung wurde behoben, so dass eine reibungslose IPv6-Funktionalität gewährleistet ist.
  • Die FreeBSD-Pipeline für die kontinuierliche Integration (CI) wurde zu GitHub Actions verschoben.
  • Es wurden Hinweise bereitgestellt, die es einem einzelnen Proxy ermöglichen, sowohl einfache als auch SSL-Streams gleichzeitig zu verwalten.
  • Compiler-Warnungen über unbenutzte Variablen wurden abgeschaltet, so dass der Code weniger unübersichtlich ist.
  • Popt 1.19 wurde aktualisiert für verbessertes Kommandozeilen-Parsing und verbesserte Konsistenz.
  • Hinzufügen eines Skripts install_deps_ubuntu.sh zur Rationalisierung der Installation erforderlicher Abhängigkeiten auf Ubuntu-Systemen.
  • Erweiterung der Abdeckung durch Aufnahme eines dedizierten Build-Ziels für Solaris, wodurch die Betriebssystemunterstützung erweitert wird.
  • Aktualisierte Linker-Pfade für Apple Silicon Geräte, um eine nahtlose Kompilierung und Verknüpfung sicherzustellen.

Alle, die ältere Rsync-Versionen verwenden, sollten die oben genannten CVEs überprüfen und auf die neueste Version 3.4 aktualisieren.

Weitere Informationen finden Sie im Changelog.

Spendieren Sie Bobby einen ☕ Ko-fi

Ein Service von s3n🧩net

Comments

Featured

Follow us

Authors

Tags