Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Rsync, позволяющая перезаписать файлы на стороне клиента"	+/–
Сообщение от opennews (??), 02-Авг-22, 22:36
В rsync, утилите для синхронизации файлов и резервного копирования, выявлена уязвимость (CVE-2022-29154), позволяющая при обращении к rsync-серверу, подконтрольному злоумышленнику, записать или перезаписать произвольные файлы в целевом каталоге на стороне пользователя. Потенциально атака также может быть совершена в результате вмешательства (MITM) в транзитный трафик между клиентом и легитимным сервером. Проблема устранена в тестовом выпуске Rsync 3.2.5pre1... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57587
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от InuYasha (??), 02-Авг-22, 22:36	+/–
Когда в протоколе "доверяй > проверяй". Что ж, теперь точно придётся обновляться...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

2. Сообщение от Аноним (2), 02-Авг-22, 23:47	–1 +/–
а где ссылка на CVE?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

3. Сообщение от Аноним (3), 02-Авг-22, 23:47	+1 +/–
В тестовом выпучке, збч, кто их системные программы писать пустил.
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 03-Авг-22, 00:16	+/–
А где же "доверяй, но проверяй"? Есть такие проекты? Или сейчас только p2p-сети умеют такое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #19

5. Сообщение от Michael Shigorin (ok), 03-Авг-22, 00:49	+1 +/–
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29154 -- отправил правку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6

6. Сообщение от Сергей Петрович (?), 03-Авг-22, 06:54	+/–
Хорошо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Аноним (7), 03-Авг-22, 08:08	+/–
Не баг, а фича!
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от richman1000000 (ok), 03-Авг-22, 08:40	–4 +/–
никогда не пользовался открыто rsync. только rsync-over-vpn или rsync-over-ssh. так что совсем не понимаю этой уязвимости)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

9. Сообщение от bOOster (ok), 03-Авг-22, 09:21	–2 +/–
уж сколько раз твердили миру - гоняйте rsync под ssh
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #14, #17, #18

10. Сообщение от Аноним (10), 03-Авг-22, 09:43	–1 +/–
Народ а можно с rsync файлы между виндой и линуксом туда-сюда качать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #27

11. Сообщение от InuYasha (??), 03-Авг-22, 10:04	+/–
> уж сколько раз твердили миру - гоняйте rsync под ssh Так ведь rsync по умолчанию через ssh, разве нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #25

12. Сообщение от Аноним (-), 03-Авг-22, 10:40	+4 +/–
Если rsync используется, например, для синхронизации со сторонним / публичным сервером, и этот сервер решил вас поломать, то никакой ssh тут не поможет. Например, некоторые дистрибутивы Linux могут использовать rsync для синхронизации своих репозитариев.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #22

13. Сообщение от Аноним (13), 03-Авг-22, 10:46	+/–
Через WSL можно на win10+.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #20

14. Сообщение от Аноним (-), 03-Авг-22, 10:50	+1 +/–
Как это поможет при синхронизации со сторонним/публичным сервером, которому внезапно захотелось вас поломать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #26

17. Сообщение от Аноним (17), 03-Авг-22, 13:24	–2 +/–
Бустырь, зачем тебе rsync и ssh? Таким как ты - обычно smb в нативной реализации хватает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #30

18. Сообщение от Михрютка (ok), 03-Авг-22, 14:10	–1 +/–
и ведь таким пассажирам позволяют пользоваться не только компьютерами но и отопительными приборами это пугает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #24

19. Сообщение от Аноним (19), 03-Авг-22, 14:51	–1 +/–
На Rust ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

20. Сообщение от Аноним (19), 03-Авг-22, 14:53	+/–
Можно и на 7 просто запустить sshd.exe из набора MinGW-W64.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

22. Сообщение от Аноним (-), 03-Авг-22, 22:14	+/–
Если тебя решит поломать debian.org, то тебе ничто не поможет. Разве только ты вовремя успеешь apt из системы вынести. А вот если тебя какой мужик в середине решит взломать, то ssh до debian.org ему сильно усложнит жизнь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23, #29

23. Сообщение от Аноним (3), 03-Авг-22, 22:32	+/–
Зеркало вполне может решить. И зеркало для rsync вещь совершенно отдельная от верифицированных подписей мейнтейнеров на пакетах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #28

24. Сообщение от bOOster (ok), 04-Авг-22, 05:00	+/–
> и ведь таким пассажирам позволяют пользоваться не только компьютерами но и отопительными > приборами > это пугает Ох как пугает, это ты прав. Твоя самокритика прям как недержание поноса.. Судя по твоему заявлению ты вообще не в курсе что у базового rsync cat /etc/services ... rsync        873/tcp rsync        873/udp ... Что, твой сервер с 873 портом открытым в инете торчит? Over ssh либо 22 либо весьма нетривиальные конструкции rsync -arvtz -e 'ssh -p <port>'
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #31, #32

25. Сообщение от bOOster (ok), 04-Авг-22, 05:03	–1 +/–
>> уж сколько раз твердили миру - гоняйте rsync под ssh > Так ведь rsync по умолчанию через ssh, разве нет? Нет. Прежде чем глупые вопросы задавать, не проще ли man открыть "There are two different ways for rsync to contact a remote system: using a remote-shell program as the transport (such as ssh or rsh) or contacting an rsync daemon directly via TCP. " cat /etc/services rsync        873/tcp rsync        873/udp
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #36

26. Сообщение от bOOster (ok), 04-Авг-22, 05:06	+/–
> Как это поможет при синхронизации со сторонним/публичным сервером, которому внезапно захотелось > вас поломать? По поводу админа данного публичного сервера и его пользователей - ниже по теме Михрютка замечание сделал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

27. Сообщение от Alexander (ok), 04-Авг-22, 11:39	+/–
DeltaCopy в помощь: http://www.aboutmyip.com/AboutMyXApp/DeltaCopyDownloadInstal...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

28. Сообщение от Аноним (-), 04-Авг-22, 15:40	+/–
А верифицированные подписи мейнтейнеров ты как получаешь? rsync'ом? То есть мужик зеркала может влезть в середину, подсунуть тебе сначала фальсифицированные подписи, а потом фальсифицированные пакеты, которые этим подписям удовлетворяют. То есть, я не знаю, как там debian эти подписи распространяет, может и не rsync'ом. Но если дебиан неудачный пример, то вот тебе другой: Gentoo вытягивает сорцы wget'ом, git'ом или чем там, по ситуации. Возможно и rsync'ом может, но я не замечал за ним такого. А вот портажи со всеми манифестами и подписями оно тянет rsync'ом. По дефолту, по-крайней мере. Выбрав сервер с которым синхронизировать портажи, я уже доверил ему выполнение произвольного кода в моей системе. Ему нет смысла связываться с дырами в rsync.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

29. Сообщение от Аноним (29), 04-Авг-22, 16:03	+1 +/–
По задумке пакетный менеджер доверяет не хосту а майнтайнерам и их подписям. Всего лишь кривое зеркало или MITM должны вызвать сбой проверки подписей и отказ ставить пакет. Иначе это уже CVE в их пакетном менеджере.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

30. Сообщение от Аноним (-), 04-Авг-22, 16:10	+/–
Злые праводеры банят SMB в интернете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

31. Сообщение от Аноним (-), 04-Авг-22, 16:11	–1 +/–
Правильно, пусть лучше боты займутся брутом ssh. Что они и делают, оптом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #33

32. Сообщение от Михрютка (ok), 04-Авг-22, 21:27	+/–
> Что, твой сервер с 873 портом открытым в инете торчит? уязвимость из новости к транспорту никакого отношения не имеет rsyncd для того и придуман, чтобы (сюрприз) торчать открытым портом в сеть, локалхост или ssl прокси. а сам rsync не имеет никакого отношения к шифрованию трафика. хорошо хоть пароли хешируют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

33. Сообщение от bOOster (ok), 05-Авг-22, 07:46	+/–
> Правильно, пусть лучше боты займутся брутом ssh. Что они и делают, оптом. Не додумался порт перекинуть на что-нибудь подальше от 22?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

34. Сообщение от Аноним (34), 06-Авг-22, 17:24	+/–
чет дебиан долго реагирует, исправленая версия есть а в апдейтах ничего не прилетало.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

35. Сообщение от вапр (?), 08-Авг-22, 22:12	+/–
замени на исправленную
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

36. Сообщение от InuYasha (??), 12-Авг-22, 13:00	+/–
Значит, зависит от дитсриба. У меня везде через ССШ, хотя я не задавал это явно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема