RSYNC 3.4 porta patch per sei vulnerabilità di sicurezza
Rsync 3.4 debutta con patch per sei falle di sicurezza, inclusi buffer overflow e problemi di gestione dei collegamenti simbolici, oltre a una migliore compatibilità e aggiornamenti CI.
Lo strumento di sincronizzazione dei file ampiamente utilizzato Rsync ha appena rilasciato la sua ultima versione, 3.4, affrontando sei vulnerabilità che colpiscono Rsync v3.3 e versioni precedenti.
CVE-2024-12084: un difetto di overflow con tampone basato su heap nel demone Rsync. Succede quando una lunghezza del checksum dannosa supera i 16 byte, consentendo agli aggressori di scrivere i dati fuori dai limiti.
CVE-2024-12085: un difetto nel demone RSYNC appare durante i confronti del checksum dei file. Gli aggressori possono manipolare le lunghezze di checksum per confrontare con la memoria non iniziativa, perdendo un byte di dati dello stack alla volta.
CVE-2024-12086: un difetto in RSYNC potrebbe consentire a un server dannoso di leggere i file da una macchina di un client. Inviando checksum appositamente realizzati durante la copia del file, gli aggressori possono ricostruire il contenuto di file byte per byte.
CVE-2024-12087: un difetto di attraversamento del percorso in RSYNC consente a un server dannoso di scrivere file al di fuori della directory prevista. Ciò risulta dall'opzione " –inc-RECURSIVE " e controlli similink inadeguati.
CVE-2024-12088: un difetto nell'opzione “–safe-links” di rsync non riesce a verificare i collegamenti simbolici nidificati. Ciò può portare all'attraversamento del percorso e alla scrittura di file all'esterno della directory prevista.
CVE-2024-12747: una condizione di gara nella gestione similk di RSYNC può aggirare il suo skipping di collegamento predefinito. Se un utente malintenzionato sostituisce un file normale con un collegamento simbolico al momento giusto, può accedere a informazioni sensibili o intensificare i privilegi.
Oltre a ciò, Rsync 3.4 include anche le seguenti modifiche degne di nota:
- Risolto un problema relativo a un tipo di restituzione mancante nel controllo IPv6, garantendo funzionalità IPv6 fluida.
- Spostato la pipeline di FreeBSD Continue Integration (CI) alle azioni GitHub.
- Suggerimenti forniti per consentire a un singolo proxy di gestire simultaneamente sia i flussi semplici che quelli SSL.
- Avvertenze del compilatore silenziate su variabili inutilizzate, riducendo così il disordine nel codice.
- Aggiornato a POPT 1.19 per l'analisi della linea di comando migliorata e una coerenza migliorata.
- Aggiunto uno script (“ Installa_deps_ubuntu.sh “) per semplificare l'installazione delle dipendenze richieste dai sistemi Ubuntu.
- Copertura ampliata incorporando un obiettivo di build dedicato per Solaris, ampliando il supporto del sistema operativo.
- Percorsi di linker aggiornati per i dispositivi di silicio Apple per garantire la compilazione e il collegamento senza soluzione di continuità.
Chiunque utilizzi le versioni RSYNC più vecchie dovrebbe rivedere i CVE menzionati sopra e aggiornare l'ultima V3.4. Per ulteriori informazioni, consultare il Changelog.