QNAP corrige les 6 vulnérabilités Rsync présentes dans son application de sauvegarde !
QNAP a publié une nouvelle mise à jour importante pour une application disponible sur ses NAS, dans le but de protéger ses utilisateurs de 6 vulnérabilités découvertes dans Rsync. Voici pourquoi vous devriez installer cette mise à jour.
Une alerte de sécurité liée à Rsync
Pour rappel, Rsync est un outil de synchronisation très apprécié, car il dispose de nombreuses options pour transférer ou synchroniser des données entre deux machines, y compris via SSH. Récemment, il a fait l'objet d'un bulletin de sécurité suite à la découverte de 6 vulnérabilités importantes, comme nous l'évoquions dans un précédent article.
Voici la liste des vulnérabilités découvertes :
- CVE-2024-12084 (score CVSS : 9.8) : dépassement de tampon dans Rsync dû à une mauvaise gestion de la longueur des sommes de contrôle.
- CVE-2024-12085 (score CVSS : 7.5) : fuite d'informations via un contenu de pile non initialisé.
- CVE-2024-12086 (score CVSS : 6.1) : fuite de fichiers arbitraires via un serveur Rsync.
- CVE-2024-12087 (score CVSS : 6.5) : vulnérabilité de type "path traversal" dans Rsync.
- CVE-2024-12088 (score CVSS : 6.5) : contournement de l'option --safe-links, conduisant à une attaque path traversal.
- CVE-2024-12747 (score CVSS : 5.6) : race condition dans la gestion des liens symboliques.
Le CERT/CC avait d'ailleurs émis une alerte sérieuse pour ces vulnérabilités : "Combinées, les deux premières vulnérabilités (débordement de la mémoire tampon du tas et fuite d'informations) permettent à un client d'exécuter un code arbitraire sur un appareil sur lequel tourne un serveur Rsync.", peut-on lire. Dans le cas présent, cela expose les NAS QNAP !
Quel est le lien entre QNAP et Rsync ?
De nombreux outils s'appuient sur une implémentation de Rsync, notamment Rclone, DeltaCopy ou encore ChronoSync. QNAP quant à lui, intègre Rsync dans son application "HBS 3 Hybrid Backup Sync 25.1.x" utilisée pour la sauvegarde des données et la reprise après sinistre.
Pour vous protéger de ces 6 failles de sécurité présentes dans Rsync, et par extension dans l'application HBS 3 Hybrid Backup Sync, vous devez utiliser la version 25.1.4.952 de l'application (ou une version supérieure). Pour bénéficier de cette mise à jour, connectez-vous au système QTS ou QuTS Hero de votre NAS, ouvrez l'App Center et mettez à jour HBS 3 Hybrid Backup Sync.
Si vous n'utilisez pas cette application, vous ne risquez rien : il ne me semble pas qu'elle soit installée par défaut sur QNAP (un possesseur d'un NAS de cette marque pourrait peut-être nous le confirmer ?).