2025-0094: rsync: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-01-15 15:19): Neues Advisory
Version 2 (2025-01-15 16:35): Für Basesystem Module 15 SP6, openSUSE Leap 15.6, SUSE Linux Enterprise Desktop 15 SP6, SUSE Linux Enterprise Real Time 15 SP6, SUSE Linux Enterprise Server 15 SP6 und SUSE Linux Enterprise Server for SAP Applications 15 SP6 stehen Sicherheitsupdates für 'rsync' bereit, um fünf Schwachstellen zu beheben.
Version 3 (2025-01-15 16:51): Für Basesystem Module 15 SP5, openSUSE Leap 15.4 und 15.5, openSUSE Leap Micro 5.5, SUSE Enterprise Storage 7.1, SUSE Linux Enterprise Desktop 15 SP4 LTSS und 15 SP5, SUSE Linux Enterprise High Performance Computing 12 SP5, 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 ESPOS / LTSS und 15 SP5, SUSE Linux Enterprise Micro 5.1, 5.2, 5.3, 5.4 und 5.5, SUSE Linux Enterprise Micro for Rancher 5.2, 5.3 und 5.4, SUSE Linux Enterprise Real Time 15 SP5, SUSE Linux Enterprise Server 12 SP5, 12 SP5 LTSS, 12 SP5 LTSS Extended Security, 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 LTSS und 15 SP5, SUSE Linux Enterprise Server for SAP Applications 12 SP5, 15 SP3, 15 SP4 und 15 SP5 sowie SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 und SUSE Manager Server 4.3 sehen Sicherheitsupdates für 'rsync' bereit, um vier Schwachstellen zu beheben.
Version 4 (2025-01-16 08:54): Der Hersteller informiert darüber, dass alle gestern veröffentlichten Sicherheitsupdates zurückgezogen wurden, da eine der Fehlerbehebungen fehlerhaft ist. Es werden neue Sicherheitsupdates in Aussicht gestellt.
Version 5 (2025-01-17 07:18): Bei der Behebung der Schwachstellen für Ubuntu 24.04 LTS, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM, Ubuntu 16.04 ESM und Ubuntu 14.04 ESM wurde eine Regression in 'rsync' eingeführt, die nun durch ein neues Update behoben wird. Für Fedora 40 und 41 stehen neue Sicherheitsupdates in Form von 'rsync-3.4.1-1'-Paketen im Status 'testing' bereit, womit die Software auf Version 3.4.1 aktualisiert und eine Reihe von Fehlern in Version 3.4.0 behoben werden. Für Fedora 41 ersetzt dieses das vorherige Update FEDORA-2025-ec87287710 (Fedora 41, rsync-3.4.0-1.fc41), welches in den Status 'obsolete' überführt wurde (Referenz hier entfernt).
Version 6 (2025-01-20 10:57): Für Basesystem Module 15 SP6 und openSUSE Leap 15.6 sowie für die SUSE Linux Enterprise Produkte Desktop 15 SP6, Real Time 15 SP6, Server 15 SP6 und Server for SAP Applications 15 SP6 stehen Sicherheitsupdates für 'rsync' bereit, um die 6 Schwachstellen zu adressieren.
Version 7 (2025-01-20 11:43): Für Basesystem Module 15 SP5, openSUSE Leap 15.4 und 15.5, openSUSE Leap Micro 5.5, SUSE Enterprise Storage 7.1, SUSE Linux Enterprise Desktop 15 SP4 LTSS und 15 SP5, SUSE Linux Enterprise High Performance Computing 12 SP5, 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 ESPOS / LTSS und 15 SP5, SUSE Linux Enterprise Micro 5.1, 5.2, 5.3, 5.4 und 5.5, SUSE Linux Enterprise Micro for Rancher 5.2, 5.3 und 5.4, SUSE Linux Enterprise Real Time 15 SP5, SUSE Linux Enterprise Server 12 SP5, 12 SP5 LTSS, 12 SP5 LTSS Extended Security, 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 LTSS und 15 SP5, SUSE Linux Enterprise Server for SAP Applications 12 SP5, 15 SP3, 15 SP4 und 15 SP5 sowie SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 und SUSE Manager Server 4.3 sehen Sicherheitsupdates für 'rsync' bereit, um fünf Schwachstellen zu beheben. Die Schwachstelle CVE-2024-12084 wird für diese Produkte wiederum nicht referenziert.
Version 8 (2025-01-29 09:10): Canonical stellt korrespondierende zu USN-7206-1 für Ubuntu 24.10 ein Sicherheitsupdate für 'rsync' bereit, um die Schwachstellen zu beheben.
Version 9 (2025-02-10 14:19): Bei der Behebung der Schwachstellen in 'rsync' für Ubuntu 24.10 wurde mit USN-7206-3 eine Regression eingeführt, die nun behoben wird.

Betroffene Software

Datensicherung
Netzwerk
Systemsoftware

Betroffene Plattformen

Linux
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und beliebigen Programmcode auszuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen und möglicherweise Privilegien zu eskalieren.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Für Debian 11 Bullseye (LTS) steht Version 3.2.3-4+deb11u2 und für Debian 12 Bookworm (stable) steht Version 3.2.7-1+deb12u1 von 'rsync' bereit, um die Schwachstellen zu beheben.

Für Fedora 40 und 41 stehen in Form von 'rsync-3.4.0-1'-Paketen Sicherheitsupdates im Status 'testing' bereit, womit die Software auf Version 3.4.0 aktualisiert wird.

Canonical stellt für Ubuntu 24.04 LTS, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM, Ubuntu 16.04 ESM und Ubuntu 14.04 ESM Sicherheitsupdates für 'rsync' bereit, um die Schwachstellen zu beheben.

Das CERT Coordination Center weist darauf hin, dass ein 'read'-Zugang auf einem betroffenen Server ausreicht, um die Schwachstellen CVE-2024-12084 und CVE-2024-12085 in Kombination für das Ausführen beliebigen Programmcodes auszunutzen.

Schwachstellen:

CVE-2024-12084

Schwachstelle in rsync ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-12085

Schwachstelle in rsync ermöglicht Ausspähen von Informationen

CVE-2024-12086

Schwachstelle in rsync ermöglicht Ausspähen von Informationen

CVE-2024-12087

Schwachstelle in rsync ermöglicht Manipulation von Dateien

CVE-2024-12088