Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Sur Linux, Rsync 3.4 corrige plusieurs failles importantes, dont une critique

Le 15 janvier à 08h45

Rsync permet la synchronisation des fichiers et est souvent utilisé par les distributions Linux pour la sauvegarde distante ou la création de points de restauration, dans des outils comme Timeshift. Une nouvelle version 3.4 vient de paraître, avec à son bord des correctifs pour six failles de sécurité, dont une critique. Elles ont été découvertes par des chercheurs de l’équipe Google Cloud Vulnerability Research.

On trouve ainsi deux failles dans le serveur Rsync, CVE-2024-12084 et CVE-2024-12085, respectivement un débordement de mémoire tampon allouée dans le tas et une fuite d’informations à partir de données non initialisées de la pile. La première est critique, avec un score CVSS3 de 9,8.

La combinaison des deux permet à un client anonyme avec simple accès en lecture de contourner l’ASLR (address space layout randomization) et de déclencher l’exécution d’un code arbitraire sur le serveur. Ces failles ont été introduites dans Rsync 3.2.7.

On trouve également quatre failles dans le client Rsync :

  • CVE-2024-12086 : permet à un serveur malveillant de lire des fichiers arbitraires
  • CVE-2024-12087 : permet de créer des liens symboliques dangereux
  • CVE-2024-12088 : permet d'écraser des fichiers arbitraires dans certaines circonstances
  • CVE-2024-12747 : affecte la façon dont le serveur Rsync gère les liens symboliques

Toutes ces failles sont corrigées par la version 3.4 de Rsync, en déploiement dans les distributions Linux depuis hier soir. Il est recommandé de mettre à jour son système aussi rapidement que possible.

Le 15 janvier à 08h45

Commentaires (19)

votre avatar
Alors il serait intéressant de voir si les failles concernant les liens symboliques concernent également Windows (oui, les liens symboliques existent aussi, et je ne parle pas des raccourcis ! Même si très peu utilisé en comparaison du mon de linux).

Quant à la première faille évoquée (CVE-2024-12086), elle ne semble pas spécifique à Linux du tout.
votre avatar
Je suis sous Linux depuis 16 ans désormais, et je trouve Rsync toujours aussi peu ergonomique à utiliser... On reste très loin de l'accessibilité proposée par d'autres OS en la matière...
Dans le même genre, je déteste la configuration de Cron... C'est d'un barbant barbu...

Autant niveau desktop, il y a eu des progrès notables, autant niveau cli, les développeurs restent coincés dans des réflexes d'accessibilité d'un autre âge...
votre avatar
Tu peux préciser ? Mon ressenti est assez différent, je trouve la commande particulièrement robuste, polyvalente et performante.
votre avatar
Je comprends pas trop ce que tu reproches à Bash ou Zsh etc.
Juste c'est stable et ça marche :)
votre avatar
Je ne reproche rien à bash et zsh, bien au contraire, j'adore ces outils pour travailler rapidement et se concentrer sur l'essentiel, scripter. Ce que je reproche, c'est le manque d'accessibilité d'un bon nombre d'applications en CLI, pas toutes non plus, ceci dit.
Beaucoup restent néanmoins imbuvables pour ceux qui mettent les mains dedans pour la première fois. CRON en est un bon exemple, d'ailleurs.
Ce n'est pas parce que c'est du CLI et que ça s'adresserait surtout potentiellement à des power users, qu'il ne faudrait ni tenir compte de l'accessibilité/lisibilité, ni de l'ergonomie.
Si on écoute ceux qui utilisent ces outils depuis des lustres, habitués, évidemment que ça leur convient, de même que photoshop est plébiscité alors que son ergonomie est à ch... et pérpétue encore ses erreurs de jeunesses pour ne pas casser les habitudes !

Et le souci sous Linux n'est pas reservé qu'aux programmes CLI, les GUI aussi manquent souvent d'accessibilité, même si pour une majorité de logiciels, ça a bien progressé !
votre avatar
Qui ouvre encore directement Rsync sans VPN / SSH etc... ?
votre avatar
Dans le CVE, il est écrit que la configuration par défaut de rsync autorise la synchronisation de fichiers anonyme, donc sans authentification. Il doit donc y en avoir qui ne modifient pas ce point.
votre avatar
Tu connais beaucoup de distros qui lancent rsyncd par défaut ?
votre avatar
Je n'ai pas dit que le problème était dans le lancement du daemon mais dans le fait de laisser la possibilité de l'accès anonyme. N'ayant jamais utilisé rsync, donc jamais configuré, je ne sais pas si c'est évident qu'il faille modifier cette configuration par défaut.

Par contre, en recherchant rsyncd sur google, je suis tombé en premier lien sur une doc ubuntu qui ne dit pas qu'il faut modifier ce point et dit juste de lire le man de rsyncd.conf.
Il existe également d'autres mots clés à utiliser dans le fichier /etc/rsyncd.conf qui permettent l'authentification et d'autres choses. Vous trouverez de plus amples détails en tapant :
man rsyncd.conf
Je pense que la plupart de ceux qui lisent ça passera à côté du problème.
votre avatar
Si le daemon n'est pas lancé, alors il n'y a pas de synchronisation anonyme, uniquement les processus authentifiés. La dernière fois que j'ai utilisé un rsyncd, c'était il y a au moins 15 ans, voire 20. Pour moi, rsyncd, c'est comme telnetd : plus personne ne l'utilise, maintenant on n'utilise plus que la version qui passe sur ssh (donc sans la version anonyme).
votre avatar
Moi je l'utilise encore, car au vu des débits FTTH actuels & sur de petites config (NAS), le chiffrement implique une pénalité en taux de transfert non négligeable.

Et oui j'avais zappé le fait que c'était pas authentifié par clé SSH quand tu le lançais comme démon (en même temps c'est logique).

Par contre j'ai un nom de user spécifique et je viens de rajouter un mot de passe.

Le fait que ça passe en clair n'est un problème que si tu penses que ton FAI espionne par défaut ET que les données sont aussi en clair & valorisées.
Si une des machines au bout est déjà compromise le chiffrement en transit n'apporte rien, il me semble
votre avatar
Les NAS n'ont-ils pas d'accélération matérielle pour le chiffrement RSA ?
Anciennement, pour accélérer mon rsnapshot, je le faisais passer par un ssh avec un chiffrement arcfour (le plus rapide, de loin). Avec les processeurs actuels, la vitesse n'est plus vraiment un problème et je reste avec l'option par défaut (arcfour est déprécié, de toute façon).
votre avatar
Hello,

Alors selon le besoin, à titre perso, c'est du rsync en local inter-machine
Si je passe over internet avec du backup de data sur un server perso => rsync over ssh par clé
mais j'ai 0 daemon rsync qui tourne....

Par contre, le nombre de serveurs ouverts sur le net avec rsync : tous les miroirs Linux qui supportent rsync + les lv0/master de distribution ?

Il y a donc potentiellement des cibles critiques
Arch : archlinux.org archlinux
Debian : https://mirror-master.debian.org/status/mirror-status.html
Ubuntu : https://launchpad.net/ubuntu/+archivemirrors

par exemple... et tous les scripts de sync des mirroirs masters => slaves : only via rsync (alors certains je sais qu'il y a une restriction par IP du slave => master, suffit d'avoir un slave compromis...)
votre avatar
Je n'ai pas compris la question. J'utilise rsync au quotidien, pour de la syncheo entre disques durs, mais je n'ai pas de VPN ou de session SSH. Devrais-je en avoir ?
votre avatar
rsync --progress -avhe 'ssh -p22' source target
votre avatar
je doute très fortement de l'utilité si le rsync est fait entre un disque interne et un disque en usb sur une machine, donc sans passer par le réseau (cas qui me semble être celui de Jarodd, mais s'il fait une synchro entre 2 ordis c'est probablement plus pertinent)
votre avatar
Sans rapport, pour de la synchro ou de la sauvegarde ?
J'ai essayé rsync pour de la synchro, mais je n'ai pas réussi à gérer comme il faut l'effacement de fichiers. Je pense qu'il faut forcément passer par un VCS pour ça.
votre avatar
Comment on fait un rsync entre machines sans passer par SSH ?

Edit : Ahah, je viens de voir la question opposée de @Jarodd 🤣

Edit 2 : après quelques secondes de recherche, j'ai trouvé ça :
Using rsync without ssh 😱
votre avatar
Alors étrangement de mon côté, la mise à jour consiste à remplacer la version 3.2.7 actuelle par la version… 3.2.7 qui propose bien les corrections citées dans l'article.
(Linux Mint 21.3 et donc base ubuntu 22.04)

Sur Linux, Rsync 3.4 corrige plusieurs failles importantes, dont une critique

Fermer