专栏名称: 绿盟科技CERT

绿盟科技CERT针对高危漏洞与安全事件进行快速响应，提供可落地的解决方案，协助用户提升应对威胁的能力。

【已支持暴露面风险排查】Rsync缓冲区溢出与信息泄露漏洞（CVE-2024-12084/CVE-2024-12085）

绿盟科技CERT · 公众号 · · 2025-01-17 23:48

主要观点总结

该文章主要介绍了绿盟科技监测到的Rsync中的两个漏洞（CVE-2024-12084和CVE-2085）的相关信息。这两个漏洞组合使用可实现远程代码执行，对Rsync服务的安全构成威胁。文章提供了关于漏洞的详细信息、影响范围、检测方法和防护措施的说明。

关键观点总结

关键观点1: Rsync中的两个漏洞CVE-2024-12084和CVE-2024-12085被发现并公布，这两个漏洞组合使用可实现远程代码执行。

漏洞CVE-2024-12084是缓冲区溢出与信息泄露漏洞，CVSS评分9.8；CVE-2024-12085是内存缓冲区内操作限制不当的问题，CVSS评分7.5。

关键观点2: Rsync服务默认开放在873端口/TCP，受影响的版本包括Rsync 3.2.7至3.3.0版本。

用户可以通过检查当前使用的Rsync版本（命令“rsync --version”）来判断系统是否在影响范围内。

关键观点3: 绿盟科技提供了多种漏洞检测和防护方案。

包括远程安全评估系统（RSAS）的产品检测、外部攻击面管理服务（EASM）的云端检测、CTEM解决方案的本地排查等。同时，官方已发布新版本修复了上述漏洞，建议受影响的用户尽快升级版本进行防护。

正文

通告编号:NS-2024-0004-1

2025-01-17

TA G：	Rsync、CVE-2024-12084、CVE-2024-12085
漏洞危害：	攻击者利用此次漏洞，可实现远程代码执行。
版本：	1.1

漏洞概述

近日，绿盟科技监测到Rsync发布安全公告，修复了Rsync中的缓冲区溢出与信息泄露漏洞（CVE-2024-12084/CVE-2024-12085），两个漏洞组合使用可实现远程代码执行，请相关用户尽快采取措施进行防护。

CVE-2024-12084：Rsync守护进程中存在堆缓冲区溢出漏洞，由于对用户控制的校验和长度 (s2length) 处理不当，当Rsyncd配置为允许匿名访问时，攻击者可通过构造恶意的s2length值将数据写入内存中超出分配范围的区域，从而实现远程代码执行。CVSS评分9.8。

CVE-2024-12085：Rsync守护进程存在内存缓冲区内操作限制不当的问题，由于未正确初始化内存，当Rsync比较文件校验和时攻击者可通过特定操作读取未初始化的内存数据，造成信息泄露。CVSS评分7.5。

Rsync是一个功能强大的文件同步工具，主要用于在本地或网络中的不同位置高效地复制和同步文件和目录，广泛应用于备份、镜像站点管理以及远程文件同步。Rsync服务默认开放在873端口/TCP，Rsync Daemon（Rsyncd）是Rsync服务端的守护进程。

参考链接：

https://download.samba.org/pub/rsync/NEWS#3.4.0

SEE MORE →

2 影响范围

受影响版本：

CVE-2024-12084 ：

Rsync = 3.2.7
Rsync = 3.3.0

CVE-2024-12085 ：

Rsync <= 3.3.0

已知影响Linux发行版：Ubuntu、Debian、AlmaLinux OS、Arch Linux、Gentoo Linux、NixOS、SUSE Linux、Triton Data Center

注： Rsync默认安装时，Rsyncd守护进程需手动配置后才会启用，建议重点关注可能开放匿名访问的文件共享和公共镜像主机。

不受影响版本：

Rsync >= 3.4.0

3 漏洞检测

3.1 版本检测

相关用户可以通过下列命令查看当前使用的Rsync版本来判断系统是否在影响范围：

rsync --version

3.2 产品检测

绿盟科技远程安全评估系统（RSAS）已具备对Rsync匿名访问与相关漏洞登录扫描的检测能力，请有部署此设备的用户升级至最新版本。

升级包版本号

升级包下载链接

RSAS V6 系统插件升级包

V6.0R02F01.3902

https://update.nsfocus.com/update/listRsasDetail/v/vulsys

关于RSAS的升级配置指导，请参考如下链接：

https://mp.weixin.qq.com/s/SgOaCZeKrNn-4uR8Yj_C3Q

4 暴露面风险排查方案

4.1 云端检测

目前绿盟科技鹰眼运营中心的两高一弱排查方案已支持针对Rsync服务暴露的风险排查：

绿盟科技外部攻击面管理服务（EASM）可进行Rsync相关漏洞风险的互联网资产排查，目前已帮助服务客户群体完成了暴露面摸排与风险验证，在威胁发生前及时进行漏洞预警与闭环处置。

有需要的用户请访问下列链接或扫描二维码登记进行免费试用：

https://t1.nsfocus.com/portal#/applyUse?product=cards

另，若对EASM服务感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至[email protected]安排详细的咨询交流。

4.2 本地排查

绿盟科技 CTEM 解决方案可以被动 + 主动进行 Rsync 相关资产的发现和排查：

用户使用外部攻击面发现功能将 Rsync 漏洞线索同步至云端，可通过资产测绘的方式获取目标单位的受影响资产。

用户添加扫描任务，可通过选择资产组或手动添加内外网主机 IP ；

可设置 Rsync 默认 873 端口进行扫描；

可对资产发现结果进行筛选和处置。

同时，绿盟科技 自动化渗透测试工具（ EZ ） 目前已支持 Rsync 服务的匿名访问验证，可使用下列命令对单个或批量主机进行检测：

./ez servicescan --hosts 192.168.13.41 --ports 873 --pocs rsync

./ez servicescan --hosts-file ip.txt --ports 873 --pocs rsync