Rsync permet la synchronisation des fichiers et est souvent utilisé par les distributions Linux pour la sauvegarde distante ou la création de points de restauration, dans des outils comme Timeshift. Une nouvelle version 3.4 vient de paraître, avec à son bord des correctifs pour six failles de sécurité, dont une critique. Elles ont été découvertes par des chercheurs de l’équipe Google Cloud Vulnerability Research.
On trouve ainsi deux failles dans le serveur Rsync, CVE-2024-12084 et CVE-2024-12085, respectivement un débordement de mémoire tampon allouée dans le tas et une fuite d’informations à partir de données non initialisées de la pile. La première est critique, avec un score CVSS3 de 9,8.
La combinaison des deux permet à un client anonyme avec simple accès en lecture de contourner l’ASLR (address space layout randomization) et de déclencher l’exécution d’un code arbitraire sur le serveur. Ces failles ont été introduites dans Rsync 3.2.7.
On trouve également quatre failles dans le client Rsync :
- CVE-2024-12086 : permet à un serveur malveillant de lire des fichiers arbitraires
- CVE-2024-12087 : permet de créer des liens symboliques dangereux
- CVE-2024-12088 : permet d’écraser des fichiers arbitraires dans certaines circonstances
- CVE-2024-12747 : affecte la façon dont le serveur Rsync gère les liens symboliques
Toutes ces failles sont corrigées par la version 3.4 de Rsync, en déploiement dans les distributions Linux depuis hier soir. Il est recommandé de mettre à jour son système aussi rapidement que possible.
