Synology-Forum.nl
Overige software => Data replicator & overige backupsoftware => Topic gestart door: Birdy op 15 januari 2025, 21:10:21
-
As many as six security vulnerabilities have been disclosed in the popular Rsync file-synchronizing tool for Unix systems, some of which could be exploited to execute arbitrary code on a client.
"Attackers can take control of a malicious server and read/write arbitrary files of any connected client," the CERT Coordination Center (CERT/CC) said in an advisory. "Sensitive data, such as SSH keys, can be extracted, and malicious code can be executed by overwriting files such as ~/.bashrc or ~/.popt."
The shortcomings, which comprise heap-buffer overflow, information disclosure, file leak, external directory file-write, and symbolic-link race condition, are listed below -
CVE-2024-12084 (CVSS score: 9.8) - Heap-buffer overflow in Rsync due to improper checksum length handling
CVE-2024-12085 (CVSS score: 7.5) - Information leak via uninitialized stack contents
CVE-2024-12086 (CVSS score: 6.1) - Rsync server leaks arbitrary client files
CVE-2024-12087 (CVSS score: 6.5) - Path traversal vulnerability in Rsync
CVE-2024-12088 (CVSS score: 6.5) - --safe-links option bypass leads to path traversal
CVE-2024-12747 (CVSS score: 5.6) - Race condition in Rsync when handling symbolic links
Simon Scannell, Pedro Gallegos, and Jasiel Spelman from Google Cloud Vulnerability Research have been credited with discovering and reporting the first five flaws. Security researcher Aleksei Gorban has been acknowledged for the symbolic-link race condition flaw.
"In the most severe CVE, an attacker only requires anonymous read access to a Rsync server, such as a public mirror, to execute arbitrary code on the machine the server is running on," Red Hat Product Security's Nick Tait said.
CERT/CC also noted that an attacker could combine CVE-2024-12084 and CVE-2024-12085 to achieve arbitrary code execution on a client that has a Rsync server running.
Patches for the vulnerabilities have been released in Rsync version 3.4.0, which was made available earlier today. For users who are unable to apply the update, the following mitigations are recommended -
CVE-2024-12084 - Disable SHA* support by compiling with CFLAGS=-DDISABLE_SHA512_DIGEST and CFLAGS=-DDISABLE_SHA256_DIGEST
CVE-2024-12085 - Compile with -ftrivial-auto-var-init=zero to zero the stack contents
BRON. (https://thehackernews.com/2025/01/google-cloud-researchers-uncover-flaws.html)
Synology loopt achter in DSM 7.2.2:
DS220Plus:~$ rsync --version
rsync version 3.1.2 protocol version 31
Copyright (C) 1996-2015 by Andrew Tridgell, Wayne Davison, and others.
Redenen om zorgen te maken, denk ik.
Even afwachten wat Synology gaat ondernemen (https://www.synology.com/en-global/security/advisory)...........
-
Onder DSM 6.2.2 is het nog steeds:
DS415+$ rsync --version
rsync version 3.0.9 protocol version 30Uit sept 2011, dus van 3 maand voordat ik mijn eerste nas kocht.
Maar het zal een heel klein deel van de gebruikers zijn waarbij het protocol vanaf het internet bereikbaar is.\
Versie 3.4.0 is pas eergisteren gereleased: https://rsync.samba.org En blijkbaar is daar viertal bugs ingeslopen zodat er gisteren nog een versie 3.4.1 kwam.
-
Hier nog iets hierover op een nederlandstalig forum: https://www.security.nl/posting/872516/Rsync-kwetsbaarheden+laten+aanvaller+willekeurige+code+op+server+uitvoeren
-
Op de Synology NAS heb je ook geen anonieme toegang tot rsync. Je moet een gebruiker rechten geven om in te loggen via rsync. Daarmee gelden deze kwetsbaarheden dus niet voor de Synology NAS.
-
Op de Synology NAS heb je ook geen anonieme toegang tot rsync
-
NAS zou nooit rechtstreeks van buiten bereikbaar mogen zijn. Indien nodig is een VPN snel opgezet.
-
> NAS zou nooit rechtstreeks van buiten bereikbaar mogen zijn.
"Nooit" is wel heel absoluut.
Met een goed ingestelde firewall die bijv. alleen https verkeer vanaf één specifiek IP adres accepteert, en daarnaast een robuuste combinatie van gebruikersnaam en wachtwoord loop je m.i. net zo weinig risico als met een VPN.
-
Het is niet enkel de aard/kwaliteit van de beveiliging. De vraag is meer waarom je willekeurige systemen buiten je LAN iets op je NAS zou willen laten doen.
-
Je hebt zoveel verschillende toepassingen voor een nas. Sommigen vereisen zelfs dat hij vanaf het internet toegangelijk is. Denk aan het hosten van websites of het gebruik als mailserver.
Je kunt je hooguit afvragen of je ook persoonlijke files op een nas wilt hebben die aan het internet hangt, of dat je dat beter op een 2e nas zet.
-
Lijkt mij een typische setup voor een internet-verbonden server die via LAN de NAS benadert. Readonly access, en slechts tot een of enkele folders.
Maar smaken verschillen. Persoonlijk zie ik een NAS als N.A.S., als je begrijpt wat ik bedoel. Dat moderne NAS systemen gevraagd of ongevraagd allerlei diensten verlenen heeft me altijd al zeer gemengde gevoelens gegeven.