Neues aus der IT-Welt

Das unter Linux beliebte rsync-Tool zur Datei-Synchronisierung wies mehrere Sicherheitslücken auf. Die schlimmste davon findet sich im rsync-Server und erlaubt das Einschleusen und Ausführen von fremdem Code. Der Angreifer benötigt dazu lediglich einen anonymen, lesenden Zugriff.

Offenbar hat sich ein Team von Sicherheitsforschern bei Google die Open-Source-Software systematisch angesehen. Dem schreiben jedenfalls die Entwickler die Entdeckung von fünf der sechs Sicherheitslücken zu, die das aktuelle Release rsync 3.4.0 schließt. Darunter findet sich auch der kritische Pufferüberlauf auf dem Heap des Servers, den Angreifer gezielt herbeiführen und ausnutzen können (RCE, CVSS 9.8, CVE-2024-12084). Aleksei Gorban "loqpa" steuert noch eine Race Condition bei der Behandlung von symbolischen Links bei, die Angreifer dazu nutzen können, sich erhöhte Privilegien zu erschleichen (CVSS 5.6, CVE-2024-12747).

Insgesamt listet die Ankündigung der Version rsync 3.4.0 sechs Lücken auf:

• CVE-2024-12084 - Heap Buffer Overflow in Checksum Parsing.
• CVE-2024-12085 - Info Leak via uninitialized Stack contents defeats ASLR.
• CVE-2024-12086 - Server leaks arbitrary client files.
• CVE-2024-12087 - Server can make client write files outside of destination directory using symbolic links.
• CVE-2024-12088 - --safe-links Bypass.
• CVE-2024-12747 - symlink race condition.

Die Lücken betreffen Versionen vor rsync 3.4.0 etwa in Red Hat und Suse Linux; verschiedene BSD-Distributionen scheinen zumindest gemäß der Übersicht des CERT der CMU nicht betroffen zu sein. Nutzer von rsync sollten die aktualisierten Versionen baldmöglichst installieren – bevor etwa die Ransomware-Bande Cl0p sie gezielt für eine seiner Datenklau-Kampagnen mit anschließender Erpressung ausnutzt.