Sebanyak enam kerentanan keamanan telah diungkapkan dalam alat sinkronisasi file Rsync yang populer untuk sistem Unix, beberapa di antaranya dapat dieksploitasi untuk mengeksekusi kode arbitrer pada klien.
“Penyerang dapat mengendalikan server jahat dan membaca/menulis file sewenang-wenang dari klien mana pun yang terhubung,” kata Pusat Koordinasi CERT (CERT/CC) dalam sebuah peringatan. “Data sensitif, seperti kunci SSH, dapat diekstraksi, dan kode berbahaya dapat dieksekusi dengan menimpa file seperti ~/.bashrc atau ~/.popt.”
Kekurangannya, yang terdiri dari heap-buffer overflow, pengungkapan informasi, kebocoran file, penulisan file direktori eksternal, dan kondisi balapan tautan simbolik, tercantum di bawah ini –
- CVE-2024-12084 (Skor CVSS: 9.8) – Heap-buffer overflow di Rsync karena penanganan panjang checksum yang tidak tepat
- CVE-2024-12085 (Skor CVSS: 7.5) – Kebocoran informasi melalui konten tumpukan yang tidak diinisialisasi
- CVE-2024-12086 (Skor CVSS: 6.1) – Server Rsync membocorkan file klien yang sewenang-wenang
- CVE-2024-12087 (Skor CVSS: 6.5) – Kerentanan traversal jalur di Rsync
- CVE-2024-12088 (Skor CVSS: 6.5) – –safe-links opsi bypass mengarah ke penjelajahan jalur
- CVE-2024-12747 (Skor CVSS: 5.6) – Kondisi balapan di Rsync saat menangani tautan simbolik
Simon Scannell, Pedro Gallegos, dan Jasiel Spelman dari Google Cloud Vulnerability Research telah berjasa menemukan dan melaporkan lima kelemahan pertama. Peneliti keamanan Aleksei Gorban telah dikenal karena kelemahan kondisi ras tautan simbolis.
“Dalam CVE yang paling parah, penyerang hanya memerlukan akses baca anonim ke server Rsync, seperti mirror publik, untuk mengeksekusi kode arbitrer pada mesin yang menjalankan server,” kata Nick Tait dari Red Hat Product Security.
CERT/CC juga mencatat bahwa penyerang dapat menggabungkan CVE-2024-12084 dan CVE-2024-12085 untuk mencapai eksekusi kode arbitrer pada klien yang menjalankan server Rsync.
Patch untuk kerentanan telah dirilis di Rsync versi 3.4.0, yang telah tersedia hari ini. Bagi pengguna yang tidak dapat menerapkan pembaruan, disarankan mitigasi berikut –
- CVE-2024-12084 – Nonaktifkan dukungan SHA* dengan mengkompilasi dengan CFLAGS=-DDISABLE_SHA512_DIGEST dan CFLAGS=-DDISABLE_SHA256_DIGEST
- CVE-2024-12085 – Kompilasi dengan -ftrivial-auto-var-init=zero hingga isi tumpukan menjadi nol
