The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в Rsync, позволяющая перезаписать файлы на стороне клиента"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Rsync, позволяющая перезаписать файлы на стороне клиента"  +/
Сообщение от opennews (??), 02-Авг-22, 22:36 
В rsync, утилите для синхронизации файлов и резервного копирования, выявлена уязвимость (CVE-2022-29154), позволяющая при обращении к rsync-серверу, подконтрольному злоумышленнику, записать или перезаписать произвольные файлы в целевом каталоге на стороне пользователя. Потенциально атака также может быть совершена в результате вмешательства (MITM) в транзитный трафик между клиентом и легитимным сервером. Проблема устранена в тестовом выпуске Rsync 3.2.5pre1...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57587

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от InuYasha (??), 02-Авг-22, 22:36 
Когда в протоколе "доверяй > проверяй". Что ж, теперь точно придётся обновляться...
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от Аноним (4), 03-Авг-22, 00:16 
А где же "доверяй, но проверяй"? Есть такие проекты? Или сейчас только p2p-сети умеют такое?
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  –1 +/
Сообщение от Аноним (19), 03-Авг-22, 14:51 
На Rust ;)
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  –1 +/
Сообщение от Аноним (2), 02-Авг-22, 23:47 
а где ссылка на CVE?
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 03-Авг-22, 00:49 
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29154 -- отправил правку.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от Сергей Петрович (?), 03-Авг-22, 06:54 
Хорошо
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +1 +/
Сообщение от Аноним (3), 02-Авг-22, 23:47 
В тестовом выпучке, збч, кто их системные программы писать пустил.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от Аноним (7), 03-Авг-22, 08:08 
Не баг, а фича!
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  –4 +/
Сообщение от richman1000000 (ok), 03-Авг-22, 08:40 
никогда не пользовался открыто rsync.
только rsync-over-vpn или rsync-over-ssh.
так что совсем не понимаю этой уязвимости)
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +4 +/
Сообщение от Аноним (-), 03-Авг-22, 10:40 
Если rsync используется, например, для синхронизации со сторонним / публичным сервером, и этот сервер решил вас поломать, то никакой ssh тут не поможет.

Например, некоторые дистрибутивы Linux могут использовать rsync для синхронизации своих репозитариев.

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от Аноним (-), 03-Авг-22, 22:14 
Если тебя решит поломать debian.org, то тебе ничто не поможет. Разве только ты вовремя успеешь apt из системы вынести.

А вот если тебя какой мужик в середине решит взломать, то ssh до debian.org ему сильно усложнит жизнь.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от Аноним (3), 03-Авг-22, 22:32 
Зеркало вполне может решить. И зеркало для rsync вещь совершенно отдельная от верифицированных подписей мейнтейнеров на пакетах.
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от Аноним (-), 04-Авг-22, 15:40 
А верифицированные подписи мейнтейнеров ты как получаешь? rsync'ом? То есть мужик зеркала может влезть в середину, подсунуть тебе сначала фальсифицированные подписи, а потом фальсифицированные пакеты, которые этим подписям удовлетворяют.

То есть, я не знаю, как там debian эти подписи распространяет, может и не rsync'ом. Но если дебиан неудачный пример, то вот тебе другой: Gentoo вытягивает сорцы wget'ом, git'ом или чем там, по ситуации. Возможно и rsync'ом может, но я не замечал за ним такого. А вот портажи со всеми манифестами и подписями оно тянет rsync'ом. По дефолту, по-крайней мере. Выбрав сервер с которым синхронизировать портажи, я уже доверил ему выполнение произвольного кода в моей системе. Ему нет смысла связываться с дырами в rsync.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +1 +/
Сообщение от Аноним (29), 04-Авг-22, 16:03 
По задумке пакетный менеджер доверяет не хосту а майнтайнерам и их подписям. Всего лишь кривое зеркало или MITM должны вызвать сбой проверки подписей и отказ ставить пакет. Иначе это уже CVE в их пакетном менеджере.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

9. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  –2 +/
Сообщение от bOOster (ok), 03-Авг-22, 09:21 
уж сколько раз твердили миру - гоняйте rsync под ssh
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от InuYasha (??), 03-Авг-22, 10:04 
> уж сколько раз твердили миру - гоняйте rsync под ssh

Так ведь rsync по умолчанию через ssh, разве нет?

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от bOOster (ok), 04-Авг-22, 05:03 
>> уж сколько раз твердили миру - гоняйте rsync под ssh
> Так ведь rsync по умолчанию через ssh, разве нет?

Нет. Прежде чем глупые вопросы задавать, не проще ли man открыть
"There are two different ways for rsync to contact a remote system: using a remote-shell program as the transport (such as ssh or rsh) or contacting an rsync daemon directly via TCP. "

cat /etc/services
rsync        873/tcp
rsync        873/udp

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +1 +/
Сообщение от Аноним (-), 03-Авг-22, 10:50 
Как это поможет при синхронизации со сторонним/публичным сервером, которому внезапно захотелось вас поломать?
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

26. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от bOOster (ok), 04-Авг-22, 05:06 
> Как это поможет при синхронизации со сторонним/публичным сервером, которому внезапно захотелось
> вас поломать?

По поводу админа данного публичного сервера и его пользователей - ниже по теме Михрютка замечание сделал.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  –2 +/
Сообщение от Аноним (17), 03-Авг-22, 13:24 
Бустырь, зачем тебе rsync и ssh? Таким как ты - обычно smb в нативной реализации хватает.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

30. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от Аноним (-), 04-Авг-22, 16:10 
Злые праводеры банят SMB в интернете.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  –1 +/
Сообщение от Михрютка (ok), 03-Авг-22, 14:10 
и ведь таким пассажирам позволяют пользоваться не только компьютерами но и отопительными приборами

это пугает

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

24. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от bOOster (ok), 04-Авг-22, 05:00 
> и ведь таким пассажирам позволяют пользоваться не только компьютерами но и отопительными
> приборами
> это пугает

Ох как пугает, это ты прав. Твоя самокритика прям как недержание поноса.. Судя по твоему заявлению ты вообще не в курсе что у базового rsync

cat /etc/services
...
rsync        873/tcp
rsync        873/udp
...

Что, твой сервер с 873 портом открытым в инете торчит?

Over ssh либо 22 либо весьма нетривиальные конструкции rsync -arvtz -e 'ssh -p <port>'

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  –1 +/
Сообщение от Аноним (-), 04-Авг-22, 16:11 
Правильно, пусть лучше боты займутся брутом ssh. Что они и делают, оптом.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от bOOster (ok), 05-Авг-22, 07:46 
> Правильно, пусть лучше боты займутся брутом ssh. Что они и делают, оптом.

Не додумался порт перекинуть на что-нибудь подальше от 22?

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от Михрютка (ok), 04-Авг-22, 21:27 

> Что, твой сервер с 873 портом открытым в инете торчит?

уязвимость из новости к транспорту никакого отношения не имеет

rsyncd для того и придуман, чтобы (сюрприз) торчать открытым портом в сеть, локалхост или ssl прокси.

а сам rsync не имеет никакого отношения к шифрованию трафика. хорошо хоть пароли хешируют.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

10. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  –1 +/
Сообщение от Аноним (10), 03-Авг-22, 09:43 
Народ а можно с rsync файлы между виндой и линуксом туда-сюда качать?
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от Аноним (13), 03-Авг-22, 10:46 
Через WSL можно на win10+.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от Аноним (19), 03-Авг-22, 14:53 
Можно и на 7 просто запустить sshd.exe из набора MinGW-W64.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от Alexander (ok), 04-Авг-22, 11:39 
DeltaCopy в помощь:
http://www.aboutmyip.com/AboutMyXApp/DeltaCopyDownloadInstal...
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

34. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от Аноним (34), 06-Авг-22, 17:24 
чет дебиан долго реагирует, исправленая версия есть а в апдейтах ничего не прилетало.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в Rsync, позволяющая перезаписать файлы на сторон..."  +/
Сообщение от вапр (?), 08-Авг-22, 22:12 
замени на исправленную
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру