VU#952657: Rsync에는 6개의 취약점이 있습... 노트

VU#952657: Rsync에는 6개의 취약점이 있습니다.

파일 동기화 도구인 Rsync에서 버전 3.3.0 이하에서 6개의 취약점이 발견되었습니다. 이러한 취약점에는 힙 버퍼 오버플로, 정보 유출, 파일 유출, 외부 디렉토리 파일 쓰기, --safe-links 우회, 심볼릭 링크 경쟁 조건이 포함됩니다. Rsync는 백업 프로그램과 공용 미러에서 파일을 효율적으로 여러 서버에 동기화하고 배포하는 데 널리 사용됩니다. 발견된 취약점은 공격자가 임의의 코드를 실행하고, 임의의 파일을 읽고 쓰고, 민감한 데이터를 추출하는 데 사용될 수 있습니다. 힙 버퍼 오버플로 취약점은 공격자가 제어하는 체크섬 길이로 트리거될 수 있으며, 정보 유출 취약점은 체크섬 길이를 조작하여 트리거될 수 있습니다. 파일 유출 취약점은 서버가 클라이언트 머신의 임의의 파일 내용을 유출하게 할 수 있습니다. --safe-links 옵션 취약점은 경로 조작 취약점으로 이어질 수 있으며, 서버가 클라이언트의 의도한 목적지 디렉토리 외부에 파일을 작성할 수 있습니다. 심볼릭 링크 경쟁 조건 취약점은 권한 상승으로 이어질 수 있으며, 사용자가 영향을 받는 서버의 특권 파일에 액세스할 수 있습니다. 이러한 취약점을 해결하려면 사용자는 가능한 한 빨리 최신 패치를 적용하고 소프트웨어를 업데이트해야 합니다. 취약점은 Google Cloud Vulnerability Research와 Aleksei Gorban의 연구원들이 발견했으며, Andrew Tridgell이 보고했습니다.