The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в Rsync, позволяющая перезаписать файлы на стороне клиента"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Rsync, позволяющая перезаписать файлы на стороне клиента"  +/
Сообщение от opennews (??), 02-Авг-22, 22:36 
В rsync, утилите для синхронизации файлов и резервного копирования, выявлена уязвимость (CVE-2022-29154), позволяющая при обращении к rsync-серверу, подконтрольному злоумышленнику, записать или перезаписать произвольные файлы в целевом каталоге на стороне пользователя. Потенциально атака также может быть совершена в результате вмешательства (MITM) в транзитный трафик между клиентом и легитимным сервером. Проблема устранена в тестовом выпуске Rsync 3.2.5pre1...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57587

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от InuYasha (??), 02-Авг-22, 22:36   +/
Когда в протоколе "доверяй > проверяй". Что ж, теперь точно придётся обновляться...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

2. Сообщение от Аноним (2), 02-Авг-22, 23:47   –1 +/
а где ссылка на CVE?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

3. Сообщение от Аноним (3), 02-Авг-22, 23:47   +1 +/
В тестовом выпучке, збч, кто их системные программы писать пустил.
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 03-Авг-22, 00:16   +/
А где же "доверяй, но проверяй"? Есть такие проекты? Или сейчас только p2p-сети умеют такое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #19

5. Сообщение от Michael Shigorinemail (ok), 03-Авг-22, 00:49   +1 +/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29154 -- отправил правку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6

6. Сообщение от Сергей Петрович (?), 03-Авг-22, 06:54   +/
Хорошо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Аноним (7), 03-Авг-22, 08:08   +/
Не баг, а фича!
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от richman1000000 (ok), 03-Авг-22, 08:40   –4 +/
никогда не пользовался открыто rsync.
только rsync-over-vpn или rsync-over-ssh.
так что совсем не понимаю этой уязвимости)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

9. Сообщение от bOOster (ok), 03-Авг-22, 09:21   –2 +/
уж сколько раз твердили миру - гоняйте rsync под ssh
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #14, #17, #18

10. Сообщение от Аноним (10), 03-Авг-22, 09:43   –1 +/
Народ а можно с rsync файлы между виндой и линуксом туда-сюда качать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #27

11. Сообщение от InuYasha (??), 03-Авг-22, 10:04   +/
> уж сколько раз твердили миру - гоняйте rsync под ssh

Так ведь rsync по умолчанию через ssh, разве нет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #25

12. Сообщение от Аноним (-), 03-Авг-22, 10:40   +4 +/
Если rsync используется, например, для синхронизации со сторонним / публичным сервером, и этот сервер решил вас поломать, то никакой ssh тут не поможет.

Например, некоторые дистрибутивы Linux могут использовать rsync для синхронизации своих репозитариев.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #22

13. Сообщение от Аноним (13), 03-Авг-22, 10:46   +/
Через WSL можно на win10+.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #20

14. Сообщение от Аноним (-), 03-Авг-22, 10:50   +1 +/
Как это поможет при синхронизации со сторонним/публичным сервером, которому внезапно захотелось вас поломать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #26

17. Сообщение от Аноним (17), 03-Авг-22, 13:24   –2 +/
Бустырь, зачем тебе rsync и ssh? Таким как ты - обычно smb в нативной реализации хватает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #30

18. Сообщение от Михрютка (ok), 03-Авг-22, 14:10   –1 +/
и ведь таким пассажирам позволяют пользоваться не только компьютерами но и отопительными приборами

это пугает

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #24

19. Сообщение от Аноним (19), 03-Авг-22, 14:51   –1 +/
На Rust ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

20. Сообщение от Аноним (19), 03-Авг-22, 14:53   +/
Можно и на 7 просто запустить sshd.exe из набора MinGW-W64.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

22. Сообщение от Аноним (-), 03-Авг-22, 22:14   +/
Если тебя решит поломать debian.org, то тебе ничто не поможет. Разве только ты вовремя успеешь apt из системы вынести.

А вот если тебя какой мужик в середине решит взломать, то ssh до debian.org ему сильно усложнит жизнь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23, #29

23. Сообщение от Аноним (3), 03-Авг-22, 22:32   +/
Зеркало вполне может решить. И зеркало для rsync вещь совершенно отдельная от верифицированных подписей мейнтейнеров на пакетах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #28

24. Сообщение от bOOster (ok), 04-Авг-22, 05:00   +/
> и ведь таким пассажирам позволяют пользоваться не только компьютерами но и отопительными
> приборами
> это пугает

Ох как пугает, это ты прав. Твоя самокритика прям как недержание поноса.. Судя по твоему заявлению ты вообще не в курсе что у базового rsync

cat /etc/services
...
rsync        873/tcp
rsync        873/udp
...

Что, твой сервер с 873 портом открытым в инете торчит?

Over ssh либо 22 либо весьма нетривиальные конструкции rsync -arvtz -e 'ssh -p <port>'

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #31, #32

25. Сообщение от bOOster (ok), 04-Авг-22, 05:03   –1 +/
>> уж сколько раз твердили миру - гоняйте rsync под ssh
> Так ведь rsync по умолчанию через ssh, разве нет?

Нет. Прежде чем глупые вопросы задавать, не проще ли man открыть
"There are two different ways for rsync to contact a remote system: using a remote-shell program as the transport (such as ssh or rsh) or contacting an rsync daemon directly via TCP. "

cat /etc/services
rsync        873/tcp
rsync        873/udp

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #36

26. Сообщение от bOOster (ok), 04-Авг-22, 05:06   +/
> Как это поможет при синхронизации со сторонним/публичным сервером, которому внезапно захотелось
> вас поломать?

По поводу админа данного публичного сервера и его пользователей - ниже по теме Михрютка замечание сделал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

27. Сообщение от Alexander (ok), 04-Авг-22, 11:39   +/
DeltaCopy в помощь:
http://www.aboutmyip.com/AboutMyXApp/DeltaCopyDownloadInstal...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

28. Сообщение от Аноним (-), 04-Авг-22, 15:40   +/
А верифицированные подписи мейнтейнеров ты как получаешь? rsync'ом? То есть мужик зеркала может влезть в середину, подсунуть тебе сначала фальсифицированные подписи, а потом фальсифицированные пакеты, которые этим подписям удовлетворяют.

То есть, я не знаю, как там debian эти подписи распространяет, может и не rsync'ом. Но если дебиан неудачный пример, то вот тебе другой: Gentoo вытягивает сорцы wget'ом, git'ом или чем там, по ситуации. Возможно и rsync'ом может, но я не замечал за ним такого. А вот портажи со всеми манифестами и подписями оно тянет rsync'ом. По дефолту, по-крайней мере. Выбрав сервер с которым синхронизировать портажи, я уже доверил ему выполнение произвольного кода в моей системе. Ему нет смысла связываться с дырами в rsync.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

29. Сообщение от Аноним (29), 04-Авг-22, 16:03   +1 +/
По задумке пакетный менеджер доверяет не хосту а майнтайнерам и их подписям. Всего лишь кривое зеркало или MITM должны вызвать сбой проверки подписей и отказ ставить пакет. Иначе это уже CVE в их пакетном менеджере.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

30. Сообщение от Аноним (-), 04-Авг-22, 16:10   +/
Злые праводеры банят SMB в интернете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

31. Сообщение от Аноним (-), 04-Авг-22, 16:11   –1 +/
Правильно, пусть лучше боты займутся брутом ssh. Что они и делают, оптом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #33

32. Сообщение от Михрютка (ok), 04-Авг-22, 21:27   +/

> Что, твой сервер с 873 портом открытым в инете торчит?

уязвимость из новости к транспорту никакого отношения не имеет

rsyncd для того и придуман, чтобы (сюрприз) торчать открытым портом в сеть, локалхост или ssl прокси.

а сам rsync не имеет никакого отношения к шифрованию трафика. хорошо хоть пароли хешируют.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

33. Сообщение от bOOster (ok), 05-Авг-22, 07:46   +/
> Правильно, пусть лучше боты займутся брутом ssh. Что они и делают, оптом.

Не додумался порт перекинуть на что-нибудь подальше от 22?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

34. Сообщение от Аноним (34), 06-Авг-22, 17:24   +/
чет дебиан долго реагирует, исправленая версия есть а в апдейтах ничего не прилетало.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

35. Сообщение от вапр (?), 08-Авг-22, 22:12   +/
замени на исправленную
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

36. Сообщение от InuYasha (??), 12-Авг-22, 13:00   +/
Значит, зависит от дитсриба. У меня везде через ССШ, хотя я не задавал это явно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру