JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月15日、「JVNVU#94903505: rsyncにおける複数の脆弱性」において、遠隔ファイル同期アプリケーションの「rsync」に複数の脆弱性が存在するとして、注意を喚起した。

これら脆弱性を悪用されると、パブリックミラーなど匿名アクセス可能なサーバー上で任意のコードを実行される可能性がある。

  • JVNVU#94903505: rsyncにおける複数の脆弱性

    JVNVU#94903505: rsyncにおける複数の脆弱性

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-12084 - rsyncデーモンにヒープベースバッファーオーバーフローの脆弱性(CVSSスコア: 9.8)
  • CVE-2024-12085 - rsyncデーモンに不適切なメモリバッファー処理の脆弱性(CVSSスコア: 7.5)
  • CVE-2024-12086 - rsyncに不適切なエラー処理の脆弱性。悪意のあるrsyncデーモンを運用する攻撃者は、クライアントからファイルをコピーする際に、クライアント環境の任意のファイルを窃取できる可能性がある(CVSSスコア: 6.1)
  • CVE-2024-12087 - rsyncの「--inc-recursive」オプションにパストラバーサルの脆弱性。悪意のあるrsyncデーモンを運用する攻撃者は、クライアントが意図したディレクトリの外部にファイルを書き込める可能性がある(CVSSスコア: 6.5)
  • CVE-2024-12088 - rsyncの「--safe-links」オプションにパストラバーサルの脆弱性。悪意のあるrsyncデーモンを運用する攻撃者は、クライアントが意図したディレクトリの外部にファイルを書き込める可能性がある(CVSSスコア: 6.5)
  • CVE-2024-12747 - rsyncのシンボリックリンク処理に競合状態の脆弱性。攻撃者はタイミングを調整したファイルの差し替えにより、機密情報を窃取できる可能性がある(CVSSスコア: 5.6)

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • rsync 3.3.0およびこれ以前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • rsync 3.4.0およびこれ以降のバージョン

修正された脆弱性の中で最も高い深刻度は緊急(Critical)と評価されており注意が必要。rsyncを利用しているユーザーは影響を確認し、速やかにアップデートすることが推奨されている。

なお、rsyncはRclone、DeltaCopy、ChronoSyncなどのバックアップソフトウェアのバックエンドとして使用されており、同様のソフトウェアを利用しているユーザーは開発者が提供している情報を確認し、必要に応じてアップデートすることが望まれている。