The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в Rsync, позволяющая перезаписать файлы на стороне клиента

02.08.2022 17:19

В rsync, утилите для синхронизации файлов и резервного копирования, выявлена уязвимость (CVE-2022-29154), позволяющая при обращении к rsync-серверу, подконтрольному злоумышленнику, записать или перезаписать произвольные файлы в целевом каталоге на стороне пользователя. Потенциально атака также может быть совершена в результате вмешательства (MITM) в транзитный трафик между клиентом и легитимным сервером. Проблема устранена в тестовом выпуске Rsync 3.2.5pre1.

Уязвимость напоминает прошлые проблемы в SCP и также вызвана тем, что сервер принимает решение о местоположении записываемого файла, а клиент должным образом не сверяет то, что отдаётся сервером, с тем, что было запрошено, что позволяет серверу записать файлы, изначально не запрошенные клиентом. Например, в случае копирования пользователем файлов в домашний каталог сервер может выдать вместо запрошенных файлов файлы с именами .bash_aliases или .ssh/authorized_keys, и они будут сохранены в домашнем каталоге пользователя.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Выпуск утилиты для синхронизации файлов Rsync 3.2.4
  3. OpenNews: Выпуск Rsync 3.1.2 c устранением уязвимости
  4. OpenNews: Вышел Rsync 3.0.2 с исправлением критической уязвимости
  5. OpenNews: Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP
  6. OpenNews: Выпуск утилиты для резервного копирования rclone 1.59
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57587-rsync
Ключевые слова: rsync
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, InuYasha (??), 22:36, 02/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда в протоколе "доверяй > проверяй". Что ж, теперь точно придётся обновляться...
     
     
  • 2.4, Аноним (4), 00:16, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А где же "доверяй, но проверяй"? Есть такие проекты? Или сейчас только p2p-сети умеют такое?
     
     
  • 3.19, Аноним (19), 14:51, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На Rust ;)
     

  • 1.2, Аноним (2), 23:47, 02/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    а где ссылка на CVE?
     
     
  • 2.5, Michael Shigorin (ok), 00:49, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29154 -- отправил правку.
     
     
  • 3.6, Сергей Петрович (?), 06:54, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо
     

  • 1.3, Аноним (3), 23:47, 02/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В тестовом выпучке, збч, кто их системные программы писать пустил.
     
  • 1.7, Аноним (7), 08:08, 03/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не баг, а фича!
     
  • 1.8, richman1000000 (ok), 08:40, 03/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    никогда не пользовался открыто rsync.
    только rsync-over-vpn или rsync-over-ssh.
    так что совсем не понимаю этой уязвимости)
     
     
  • 2.12, Аноним (-), 10:40, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Если rsync используется, например, для синхронизации со сторонним / публичным сервером, и этот сервер решил вас поломать, то никакой ssh тут не поможет.

    Например, некоторые дистрибутивы Linux могут использовать rsync для синхронизации своих репозитариев.

     
     
  • 3.22, Аноним (-), 22:14, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если тебя решит поломать debian.org, то тебе ничто не поможет. Разве только ты вовремя успеешь apt из системы вынести.

    А вот если тебя какой мужик в середине решит взломать, то ssh до debian.org ему сильно усложнит жизнь.

     
     
  • 4.23, Аноним (3), 22:32, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зеркало вполне может решить. И зеркало для rsync вещь совершенно отдельная от верифицированных подписей мейнтейнеров на пакетах.
     
     
  • 5.28, Аноним (-), 15:40, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А верифицированные подписи мейнтейнеров ты как получаешь? rsync'ом? То есть мужик зеркала может влезть в середину, подсунуть тебе сначала фальсифицированные подписи, а потом фальсифицированные пакеты, которые этим подписям удовлетворяют.

    То есть, я не знаю, как там debian эти подписи распространяет, может и не rsync'ом. Но если дебиан неудачный пример, то вот тебе другой: Gentoo вытягивает сорцы wget'ом, git'ом или чем там, по ситуации. Возможно и rsync'ом может, но я не замечал за ним такого. А вот портажи со всеми манифестами и подписями оно тянет rsync'ом. По дефолту, по-крайней мере. Выбрав сервер с которым синхронизировать портажи, я уже доверил ему выполнение произвольного кода в моей системе. Ему нет смысла связываться с дырами в rsync.

     
  • 4.29, Аноним (29), 16:03, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По задумке пакетный менеджер доверяет не хосту а майнтайнерам и их подписям. Всего лишь кривое зеркало или MITM должны вызвать сбой проверки подписей и отказ ставить пакет. Иначе это уже CVE в их пакетном менеджере.
     

  • 1.9, bOOster (ok), 09:21, 03/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    уж сколько раз твердили миру - гоняйте rsync под ssh
     
     
  • 2.11, InuYasha (??), 10:04, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > уж сколько раз твердили миру - гоняйте rsync под ssh

    Так ведь rsync по умолчанию через ssh, разве нет?

     
     
  • 3.25, bOOster (ok), 05:03, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> уж сколько раз твердили миру - гоняйте rsync под ssh
    > Так ведь rsync по умолчанию через ssh, разве нет?

    Нет. Прежде чем глупые вопросы задавать, не проще ли man открыть
    "There are two different ways for rsync to contact a remote system: using a remote-shell program as the transport (such as ssh or rsh) or contacting an rsync daemon directly via TCP. "

    cat /etc/services
    rsync 873/tcp
    rsync 873/udp

     
  • 2.14, Аноним (-), 10:50, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как это поможет при синхронизации со сторонним/публичным сервером, которому внезапно захотелось вас поломать?
     
     
  • 3.26, bOOster (ok), 05:06, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Как это поможет при синхронизации со сторонним/публичным сервером, которому внезапно захотелось
    > вас поломать?

    По поводу админа данного публичного сервера и его пользователей - ниже по теме Михрютка замечание сделал.

     
  • 2.17, Аноним (17), 13:24, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Бустырь, зачем тебе rsync и ssh? Таким как ты - обычно smb в нативной реализации хватает.
     
     
  • 3.30, Аноним (-), 16:10, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Злые праводеры банят SMB в интернете.
     
  • 2.18, Михрютка (ok), 14:10, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и ведь таким пассажирам позволяют пользоваться не только компьютерами но и отопительными приборами

    это пугает

     
     
  • 3.24, bOOster (ok), 05:00, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > и ведь таким пассажирам позволяют пользоваться не только компьютерами но и отопительными
    > приборами
    > это пугает

    Ох как пугает, это ты прав. Твоя самокритика прям как недержание поноса.. Судя по твоему заявлению ты вообще не в курсе что у базового rsync

    cat /etc/services
    ...
    rsync 873/tcp
    rsync 873/udp
    ...

    Что, твой сервер с 873 портом открытым в инете торчит?

    Over ssh либо 22 либо весьма нетривиальные конструкции rsync -arvtz -e 'ssh -p <port>'

     
     
  • 4.31, Аноним (-), 16:11, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Правильно, пусть лучше боты займутся брутом ssh. Что они и делают, оптом.
     
     
  • 5.33, bOOster (ok), 07:46, 05/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Правильно, пусть лучше боты займутся брутом ssh. Что они и делают, оптом.

    Не додумался порт перекинуть на что-нибудь подальше от 22?

     
  • 4.32, Михрютка (ok), 21:27, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +/

    > Что, твой сервер с 873 портом открытым в инете торчит?

    уязвимость из новости к транспорту никакого отношения не имеет

    rsyncd для того и придуман, чтобы (сюрприз) торчать открытым портом в сеть, локалхост или ssl прокси.

    а сам rsync не имеет никакого отношения к шифрованию трафика. хорошо хоть пароли хешируют.

     

  • 1.10, Аноним (10), 09:43, 03/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Народ а можно с rsync файлы между виндой и линуксом туда-сюда качать?
     
     
  • 2.13, Аноним (13), 10:46, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Через WSL можно на win10+.
     
     
  • 3.20, Аноним (19), 14:53, 03/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Можно и на 7 просто запустить sshd.exe из набора MinGW-W64.
     
  • 2.27, Alexander (ok), 11:39, 04/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    DeltaCopy в помощь:
    http://www.aboutmyip.com/AboutMyXApp/DeltaCopyDownloadInstaller.jsp
     

  • 1.34, Аноним (34), 17:24, 06/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    чет дебиан долго реагирует, исправленая версия есть а в апдейтах ничего не прилетало.
     
     
  • 2.35, вапр (?), 22:12, 08/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    замени на исправленную
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру