Linux : mettez à jour Rsync pour vous protéger de 6 vulnérabilités importantes !
Des failles de sécurité majeures ont été identifiées dans Rsync, un outil de synchronisation de fichiers très utilisé sur les machines Linux. Quels sont les risques ? Faisons le point.
Cette nouvelle mise à jour de sécurité de rsync ne devrait pas passer inaperçue puisqu'elle comble six vulnérabilités, dont certaines pourraient permettre l'exécution de code arbitraire sur une machine.
Le CERT/CC a publié un bulletin de sécurité à ce sujet : "Les attaquants peuvent prendre le contrôle d'un serveur malveillant et lire/écrire des fichiers arbitraires de n'importe quel client connecté.", peut-on lire.
Ce même document précise que des données sensibles, telles que des clés SSH, pourraient être extraites via l'exploitation de ces vulnérabilités. De plus, du "code malveillant peut être exécuté en écrasant des fichiers tels que ~/.bashrc ou ~/.popt" sur la machine Linux ciblée.
Nick Tait, un expert en sécurité, s'est également exprimé au sujet des risques liés à ces vulnérabilités : "Dans le cas le plus grave, un attaquant n'a besoin que d'un accès anonyme en lecture à un serveur Rsync, tel qu'un miroir public, pour exécuter un code arbitraire sur la machine sur laquelle le serveur est exécuté."
Le détail des vulnérabilités
Simon Scannell, Pedro Gallegos et Jasiel Spelman de Google Cloud Vulnerability Research ont découvert les 5 premières vulnérabilités présentées ci-dessous, tandis que la dernière est à mettre au crédit d'Aleksei Gorban.
Voici la liste des vulnérabilités découvertes :
- CVE-2024-12084 (score CVSS : 9.8) : dépassement de tampon dans Rsync dû à une mauvaise gestion de la longueur des sommes de contrôle.
- CVE-2024-12085 (score CVSS : 7.5) : fuite d'informations via un contenu de pile non initialisé.
- CVE-2024-12086 (score CVSS : 6.1) : fuite de fichiers arbitraires via un serveur Rsync.
- CVE-2024-12087 (score CVSS : 6.5) : vulnérabilité de type "path traversal" dans Rsync.
- CVE-2024-12088 (score CVSS : 6.5) : contournement de l'option --safe-links, conduisant à une attaque path traversal.
- CVE-2024-12747 (score CVSS : 5.6) : race condition dans la gestion des liens symboliques.
Comment se protéger ?
Les correctifs pour ces vulnérabilités sont inclus dans Rsync version 3.4.0, publiée le mardi 14 janvier 2025. Il est fortement recommandé aux utilisateurs de mettre à jour Rsync vers cette version pour protéger leurs systèmes.
Pour ceux qui ne peuvent pas appliquer les mises à jour, des mesures d'atténuation sont recommandées pour 2 CVE.
- CVE-2024-12084 : désactiver le support SHA* en compilant avec les options "CFLAGS=-DDISABLE_SHA512_DIGEST" et "CFLAGS=-DDISABLE_SHA256_DIGEST".
- CVE-2024-12085 : utiliser l'option de compilation "-ftrivial-auto-var-init=zero" pour initialiser à zéro le contenu de la pile.
La meilleure option sera probablement l'installation de la mise à jour Rsync.
