オープンソースのファイル転送・同期ソフトウェア「rsync」の最新版v3.4.0およびその修正版v3.4.1がリリースされました。
v3.4.0では複数の重大なセキュリティ脆弱性の修正が行われています。脆弱性はGoogle Cloud Vulnerability ResearchチームとAleksei Gorban氏によって発見されたもので、これには、ヒープバッファオーバーフロー、情報リーク、サーバーによる任意のクライアントファイルのリーク、サーバーがシンボリックリンク経由でクライアントに宛先ディレクトリ外のファイルを書き込ませる可能性がある問題、セーフリンクバイパス、シンボリックリンクの競合状態などが含まれています。
特に、任意のクライアントファイルの漏洩と、宛先ディレクトリ外のファイルへの書き込問題は重大だと考えられています。
rsync 3.4.0ではこれら6つのCVEがすべて修正されています。
- CVE-2024-12084 - Heap Buffer Overflow in Checksum Parsing.
- CVE-2024-12085 - Info Leak via uninitialized Stack contents defeats ASLR.
- CVE-2024-12086 - Server leaks arbitrary client files.
- CVE-2024-12087 - Server can make client write files outside of destination directory using symbolic links.
- CVE-2024-12088 - --safe-links Bypass.
- CVE-2024-12747 - symlink race condition.
rsync 3.4.0ではほかにもいくつかのバグが修正され、FreeBSDとSolarisで継続的インテグレーション(CI)ビルドが導入されるなどの変更が行われています。続いて公開されたv3.4.1ではv3.4.0のマイナーな不具合の修正が行われています。
