URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 128120
[ Назад ]
Исходное сообщение
"Уязвимость в Rsync, позволяющая перезаписать файлы на стороне клиента"
Отправлено opennews , 02-Авг-22 22:36
В rsync, утилите для синхронизации файлов и резервного копирования, выявлена уязвимость (CVE-2022-29154), позволяющая при обращении к rsync-серверу, подконтрольному злоумышленнику, записать или перезаписать произвольные файлы в целевом каталоге на стороне пользователя. Потенциально атака также может быть совершена в результате вмешательства (MITM) в транзитный трафик между клиентом и легитимным сервером. Проблема устранена в тестовом выпуске Rsync 3.2.5pre1...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57587
Содержание
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,InuYasha, 22:36 , 02-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 00:16 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 14:51 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 23:47 , 02-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Michael Shigorin, 00:49 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Сергей Петрович, 06:54 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 23:47 , 02-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 08:08 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,richman1000000, 08:40 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 10:40 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 22:14 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 22:32 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 15:40 , 04-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 16:03 , 04-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,bOOster, 09:21 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,InuYasha, 10:04 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,bOOster, 05:03 , 04-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,InuYasha, 13:00 , 12-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 10:50 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,bOOster, 05:06 , 04-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 13:24 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 16:10 , 04-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Михрютка, 14:10 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,bOOster, 05:00 , 04-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 16:11 , 04-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,bOOster, 07:46 , 05-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Михрютка, 21:27 , 04-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 09:43 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 10:46 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 14:53 , 03-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Alexander, 11:39 , 04-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,Аноним, 17:24 , 06-Авг-22
- Уязвимость в Rsync, позволяющая перезаписать файлы на сторон...,вапр, 22:12 , 08-Авг-22
Сообщения в этом обсуждении
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено InuYasha , 02-Авг-22 22:36
Когда в протоколе "доверяй > проверяй". Что ж, теперь точно придётся обновляться...
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 03-Авг-22 00:16
А где же "доверяй, но проверяй"? Есть такие проекты? Или сейчас только p2p-сети умеют такое?
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 03-Авг-22 14:51
На Rust ;)
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 02-Авг-22 23:47
а где ссылка на CVE?
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Michael Shigorin , 03-Авг-22 00:49
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29154 -- отправил правку.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Сергей Петрович , 03-Авг-22 06:54
Хорошо
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 02-Авг-22 23:47
В тестовом выпучке, збч, кто их системные программы писать пустил.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 03-Авг-22 08:08
Не баг, а фича!
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено richman1000000 , 03-Авг-22 08:40
никогда не пользовался открыто rsync.
только rsync-over-vpn или rsync-over-ssh.
так что совсем не понимаю этой уязвимости)
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 03-Авг-22 10:40
Если rsync используется, например, для синхронизации со сторонним / публичным сервером, и этот сервер решил вас поломать, то никакой ssh тут не поможет.Например, некоторые дистрибутивы Linux могут использовать rsync для синхронизации своих репозитариев.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 03-Авг-22 22:14
Если тебя решит поломать debian.org, то тебе ничто не поможет. Разве только ты вовремя успеешь apt из системы вынести.А вот если тебя какой мужик в середине решит взломать, то ssh до debian.org ему сильно усложнит жизнь.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 03-Авг-22 22:32
Зеркало вполне может решить. И зеркало для rsync вещь совершенно отдельная от верифицированных подписей мейнтейнеров на пакетах.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 04-Авг-22 15:40
А верифицированные подписи мейнтейнеров ты как получаешь? rsync'ом? То есть мужик зеркала может влезть в середину, подсунуть тебе сначала фальсифицированные подписи, а потом фальсифицированные пакеты, которые этим подписям удовлетворяют.То есть, я не знаю, как там debian эти подписи распространяет, может и не rsync'ом. Но если дебиан неудачный пример, то вот тебе другой: Gentoo вытягивает сорцы wget'ом, git'ом или чем там, по ситуации. Возможно и rsync'ом может, но я не замечал за ним такого. А вот портажи со всеми манифестами и подписями оно тянет rsync'ом. По дефолту, по-крайней мере. Выбрав сервер с которым синхронизировать портажи, я уже доверил ему выполнение произвольного кода в моей системе. Ему нет смысла связываться с дырами в rsync.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 04-Авг-22 16:03
По задумке пакетный менеджер доверяет не хосту а майнтайнерам и их подписям. Всего лишь кривое зеркало или MITM должны вызвать сбой проверки подписей и отказ ставить пакет. Иначе это уже CVE в их пакетном менеджере.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено bOOster , 03-Авг-22 09:21
уж сколько раз твердили миру - гоняйте rsync под ssh
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено InuYasha , 03-Авг-22 10:04
> уж сколько раз твердили миру - гоняйте rsync под ssh Так ведь rsync по умолчанию через ssh, разве нет?
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено bOOster , 04-Авг-22 05:03
>> уж сколько раз твердили миру - гоняйте rsync под ssh
> Так ведь rsync по умолчанию через ssh, разве нет?Нет. Прежде чем глупые вопросы задавать, не проще ли man открыть
"There are two different ways for rsync to contact a remote system: using a remote-shell program as the transport (such as ssh or rsh) or contacting an rsync daemon directly via TCP. "
cat /etc/services
rsync 873/tcp
rsync 873/udp
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено InuYasha , 12-Авг-22 13:00
Значит, зависит от дитсриба. У меня везде через ССШ, хотя я не задавал это явно.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 03-Авг-22 10:50
Как это поможет при синхронизации со сторонним/публичным сервером, которому внезапно захотелось вас поломать?
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено bOOster , 04-Авг-22 05:06
> Как это поможет при синхронизации со сторонним/публичным сервером, которому внезапно захотелось
> вас поломать?По поводу админа данного публичного сервера и его пользователей - ниже по теме Михрютка замечание сделал.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 03-Авг-22 13:24
Бустырь, зачем тебе rsync и ssh? Таким как ты - обычно smb в нативной реализации хватает.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 04-Авг-22 16:10
Злые праводеры банят SMB в интернете.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Михрютка , 03-Авг-22 14:10
и ведь таким пассажирам позволяют пользоваться не только компьютерами но и отопительными приборамиэто пугает
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено bOOster , 04-Авг-22 05:00
> и ведь таким пассажирам позволяют пользоваться не только компьютерами но и отопительными
> приборами
> это пугает Ох как пугает, это ты прав. Твоя самокритика прям как недержание поноса.. Судя по твоему заявлению ты вообще не в курсе что у базового rsync
cat /etc/services
...
rsync 873/tcp
rsync 873/udp
...
Что, твой сервер с 873 портом открытым в инете торчит?
Over ssh либо 22 либо весьма нетривиальные конструкции rsync -arvtz -e 'ssh -p <port>'
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 04-Авг-22 16:11
Правильно, пусть лучше боты займутся брутом ssh. Что они и делают, оптом.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено bOOster , 05-Авг-22 07:46
> Правильно, пусть лучше боты займутся брутом ssh. Что они и делают, оптом. Не додумался порт перекинуть на что-нибудь подальше от 22?
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Михрютка , 04-Авг-22 21:27
> Что, твой сервер с 873 портом открытым в инете торчит?уязвимость из новости к транспорту никакого отношения не имеет
rsyncd для того и придуман, чтобы (сюрприз) торчать открытым портом в сеть, локалхост или ssl прокси.
а сам rsync не имеет никакого отношения к шифрованию трафика. хорошо хоть пароли хешируют.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 03-Авг-22 09:43
Народ а можно с rsync файлы между виндой и линуксом туда-сюда качать?
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 03-Авг-22 10:46
Через WSL можно на win10+.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 03-Авг-22 14:53
Можно и на 7 просто запустить sshd.exe из набора MinGW-W64.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Alexander , 04-Авг-22 11:39
DeltaCopy в помощь:
http://www.aboutmyip.com/AboutMyXApp/DeltaCopyDownloadInstal...
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено Аноним , 06-Авг-22 17:24
чет дебиан долго реагирует, исправленая версия есть а в апдейтах ничего не прилетало.
"Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."
Отправлено вапр , 08-Авг-22 22:12
замени на исправленную