24/01/2025

Actu Cybersécurité

QNAP corrige les 6 vulnérabilités Rsync présentes dans son application de sauvegarde !

QNAP a publié une nouvelle mise à jour importante pour une application disponible sur ses NAS, dans le but de protéger ses utilisateurs de 6 vulnérabilités découvertes dans Rsync. Voici pourquoi vous devriez installer cette mise à jour.

Une alerte de sécurité liée à Rsync

Pour rappel, Rsync est un outil de synchronisation très apprécié, car il dispose de nombreuses options pour transférer ou synchroniser des données entre deux machines, y compris via SSH. Récemment, il a fait l'objet d'un bulletin de sécurité suite à la découverte de 6 vulnérabilités importantes, comme nous l'évoquions dans un précédent article.

Voici la liste des vulnérabilités découvertes :

  • CVE-2024-12084 (score CVSS : 9.8) : dépassement de tampon dans Rsync dû à une mauvaise gestion de la longueur des sommes de contrôle.
  • CVE-2024-12085 (score CVSS : 7.5) : fuite d'informations via un contenu de pile non initialisé.
  • CVE-2024-12086 (score CVSS : 6.1) : fuite de fichiers arbitraires via un serveur Rsync.
  • CVE-2024-12087 (score CVSS : 6.5) : vulnérabilité de type "path traversal" dans Rsync.
  • CVE-2024-12088 (score CVSS : 6.5) : contournement de l'option --safe-links, conduisant à une attaque path traversal.
  • CVE-2024-12747 (score CVSS : 5.6) : race condition dans la gestion des liens symboliques.

Le CERT/CC avait d'ailleurs émis une alerte sérieuse pour ces vulnérabilités : "Combinées, les deux premières vulnérabilités (débordement de la mémoire tampon du tas et fuite d'informations) permettent à un client d'exécuter un code arbitraire sur un appareil sur lequel tourne un serveur Rsync.", peut-on lire. Dans le cas présent, cela expose les NAS QNAP !

Quel est le lien entre QNAP et Rsync ?

De nombreux outils s'appuient sur une implémentation de Rsync, notamment Rclone, DeltaCopy ou encore ChronoSync. QNAP quant à lui, intègre Rsync dans son application "HBS 3 Hybrid Backup Sync 25.1.x" utilisée pour la sauvegarde des données et la reprise après sinistre.

Pour vous protéger de ces 6 failles de sécurité présentes dans Rsync, et par extension dans l'application HBS 3 Hybrid Backup Sync, vous devez utiliser la version 25.1.4.952 de l'application (ou une version supérieure). Pour bénéficier de cette mise à jour, connectez-vous au système QTS ou QuTS Hero de votre NAS, ouvrez l'App Center et mettez à jour HBS 3 Hybrid Backup Sync.

Si vous n'utilisez pas cette application, vous ne risquez rien : il ne me semble pas qu'elle soit installée par défaut sur QNAP (un possesseur d'un NAS de cette marque pourrait peut-être nous le confirmer ?).

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.