Rsyncشش آسیب‌پذیری امنیتی در ابزار محبوب همگام‌سازی فایل Rsync برای سیستم‌های یونیکس فاش شده است[۱]، که برخی از آنها می‌توانند برای اجرای کد دلخواه روی یک کلاینت مورد بهره برداری قرار گیرند.

مرکز هماهنگی CERT (CERT/CC) در گزارشی اعلام کرد[۲]: “مهاجمان می توانند کنترل یک سرور مخرب را در دست بگیرند و فایل های دلخواه هر کلاینت متصل را بخوانند/بنویسند. داده های حساس مانند کلیدهای SSH را می توان استخراج کرد و کدهای مخرب را می توان با بازنویسی فایل هایی مانند ~/.bashrc یا ~/.popt اجرا کرد.”

نواقصی که شامل سرریز heap-buffer، افشای اطلاعات، نشت فایل، نوشتن فایل دایرکتوری خارجی و شرایط مسابقه پیوند نمادین می‌شود، در زیر فهرست شده‌اند.

  • CVE-2024-12084 (امتیاز ۹٫۸ در CVSS) – سرریز Heap-Buffer در Rsync به دلیل مدیریت نامناسب طول checksum
  • CVE-2024-12085 (امتیاز ۷٫۵ در CVSS) – نشت اطلاعات از طریق محتویات stack بدون مقدار اولیه
  • CVE-2024-12086 (امتیاز ۶٫۱ در CVSS) – سرور Rsync فایل های مشتری دلخواه را افشا می کند
  • CVE-2024-12087 (امتیاز ۶٫۵ در CVSS) – آسیب پذیری پیمایش مسیر در Rsync
  • CVE-2024-12088 (امتیاز ۶٫۵ در CVSS) – دور زدن گزینه –safe-links به پیمایش مسیر منجر می شود
  • CVE-2024-12747 (امتیاز CVSS: 5.6) – شرایط مسابقه در Rsync هنگام مدیریت پیوندهای نمادین

Simon Scannell، Pedro Gallegos و Jasiel Spelman از Google Cloud Vulnerability Research با کشف و گزارش پنج نقص اول شناخته شده اند. محقق امنیتی الکسی گوربن به دلیل نقص شرط مسابقه پیوند نمادین تایید شده است.

Nick Tait از Red Hat Product Security گفت[۳]: «در شدیدترین CVE، یک مهاجم فقط به دسترسی خواندن ناشناس به سرور Rsync، مانند یک آینه عمومی، نیاز دارد تا کد دلخواه را روی دستگاهی که سرور در حال اجرا است، اجرا کند.»

CERT/CC همچنین خاطرنشان کرد که یک مهاجم می‌تواند CVE-2024-12084 و CVE-2024-12085 را برای اجرای کد دلخواه روی کلاینتی که یک سرور Rsync در حال اجرا دارد، ترکیب کند.

وصله های آسیب پذیری در Rsync نسخه ۳٫۴٫۰ منتشر شده است[۴] که در تاریخ ۱۵ ژانویه ۲۰۲۵ در دسترس قرار گرفت. برای کاربرانی که قادر به اعمال به روز رسانی نیستند، اقدامات کاهشی زیر توصیه می شود:

  • CVE-2024-12084 – با کامپایل کردن با CFLAGS=-DDISABLE_SHA512_DIGEST و CFLAGS=-DDISABLE_SHA256_DIGEST، پشتیبانی SHA را غیرفعال کنید.
  • CVE-2024-12085 – کامپایل محتویات stack با -ftrivial-auto-var-init=zero تا صفر

  منابع

[۱] https://rsync.samba.org/features.html

[۲] https://kb.cert.org/vuls/id/952657

[۳] https://www.openwall.com/lists/oss-security/2025/01/14/3

[۴] https://github.com/RsyncProject/rsync/releases/tag/v3.4.0

[۵] https://thehackernews.com/2025/01/google-cloud-researchers-uncover-flaws.html