Az Rsync 3.4 fontos biztonsági javításokat tartalmaz, amelyek az alábbi CVE-azonosítókkal ellátott problémák megoldására irányulnak:

• CVE-2024-12084: Egy puffertúlcsordulási hiba az Rsync démonban, amely akkor fordul elő, ha egy rosszindulatú ellenőrző összeg hossza meghaladja a 16 bájtot. Ez lehetővé teszi, hogy támadók az adatok határain túl írjanak.
• CVE-2024-12085: Az Rsync démon egy hibája, amely fájlellenőrző összeg összehasonlításakor jelenik meg. A támadók manipulálhatják az ellenőrző összeg hosszát, hogy inicializálatlan memóriát olvassanak ki, egy bájt adatot szivárogtatva ki a veremről egyszerre.
• CVE-2024-12086: Egy hiba lehetővé teszi, hogy egy rosszindulatú szerver fájlokat olvasson egy kliens gépéről. Speciálisan kialakított ellenőrző összegek küldésével a támadók bájtról bájtra rekonstruálhatják a fájltartalmakat.
• CVE-2024-12087: Egy elérési út bejárási hiba, amely lehetővé teszi egy rosszindulatú szerver számára, hogy fájlokat írjon a megadott könyvtáron kívülre. Ez az „–inc-recursive” opció és nem megfelelő szimbolikus link-ellenőrzés miatt történik.
• CVE-2024-12088: Az „–safe-links” opció hibája, amely nem ellenőrzi megfelelően a beágyazott szimbolikus linkeket, így lehetőséget ad az elérési utak bejárására és fájlok nem várt helyekre történő írására.
• CVE-2024-12747: Egy versenyhelyzet a szimbolikus linkek kezelésében, amely lehetővé teszi a linkek alapértelmezett kihagyásának megkerülését. Ha egy támadó megfelelő időben helyettesíti a normál fájlt egy szimbolikus linkkel, érzékeny információkat érhet el vagy jogosultságot szerezhet.

Egyéb fontos változások

A biztonsági javításokon kívül az Rsync 3.4 számos további fejlesztést is tartalmaz, többek között:

• IPv6 ellenőrzéssel kapcsolatos hiba kijavítása, amely biztosítja az IPv6 funkciók zavartalan működését.
• A FreeBSD Continuous Integration (CI) pipeline áthelyezése a GitHub Actions rendszerébe.
• Új iránymutatások bevezetése egyetlen proxy használatára egyszerre titkosítatlan és SSL adatfolyamok kezeléséhez.
• Fordítói figyelmeztetések (használaton kívüli változók) csökkentése a tisztább kód érdekében.
• A Popt 1.19-re való frissítés, amely javítja a parancssori elemzést és növeli a következetességet.
• Új telepítési script („install_deps_ubuntu.sh”) Ubuntu rendszerek függőségeinek egyszerű telepítéséhez.
• Támogatás bővítése Solaris rendszerekhez új build célponttal.
• Linker útvonalak frissítése Apple Silicon eszközökhöz a zökkenőmentes fordítás érdekében.

Frissítés ajánlott

Az Rsync régebbi verzióit használóknak mindenképpen javasolt a frissítés a 3.4.1-es verzióra a biztonsági kockázatok minimalizálása érdekében. További részletek és a teljes változásnapló elérhető az alkalmazás hivatalos oldalán. Az Rsync 3.4.1 verziója gyors javítást nyújt a nemrégiben megjelent 3.4.0-ban felfedezett regressziókra. Ez a frissítés több hibajavítást és fejlesztői finomítást is tartalmaz, melyek stabilabb és megbízhatóbb működést eredményeznek.

Változások az Rsync 3.4.1 verziójában

Hibajavítások

• -H kapcsoló kezelése: Kijavították a belső jelzőértékek közötti konfliktusokat, amelyek a fájlok hard linkjeinek helytelen kezelését okozták.
• „User-after-free” hiba: Javították a hibás fájlátnevezések naplózása során fellépő memóriakezelési hibát.
• Build javítások: A 3.4.1-es verzió már sikeresen fordul olyan rendszereken is, amelyek nem támogatják az openat() rendszerhívást.
• alloca() eltávolítása: A csomagolt Popt könyvtárból eltávolították az alloca() függvényt, így csökkentve az esetleges fordítási problémákat.

Fejlesztői változtatások

• Jogosultságkezelés javítása: A fejlesztői kiadásokhoz használt szkriptekben pontosították a jogosultságok kezelését, hogy az elosztási folyamatok gördülékenyebbek legyenek.