Oude tool rsync is kwetsbaar, 660.000 servers moeten nog patchen

rsync, een tool van weleer om bestanden te synchroniseren, bevat meerdere kwetsbaarheden. De nieuwe 3.4.0 release is al beschikbaar met fixes.

Een zestal kwetsbaarheden is gevonden in de tool. Eén ervan is duidelijk het meest zorgwekkend: CVE-2024-12084. Door deze kwetsbaarheid kunnen aanvallers een heap-buffer overflow exploiteren voor het uitvoeren van code op afstand. BleepingComputer ontdekte dat zeker 660.000 servers blootgesteld zijn aan dit gevaar. Het overgrote merendeel (521.578) bevindt zich in China, maar er zijn bijna 4.000 servers in Nederland die nog niet van een patch zijn voorzien.

Meer kwetsbaarheden

De overige kwetsbaarheden luisteren naar de codes CVE-2024-12084 t/m 12088 en CVE-2024-12747. Geen enkele andere kwetsbaarheid scoort een hogere CVSS-score dan 7,5. Toch is de genoemde remote code execution op de eenvoudigste manier te realiseren door CVE-2024-12084 en 12085 met elkaar te combineren.

Meerdere security-experts hebben zich gebogen over deze cybergevaren, waaronder die van Google, CERT/CC en Red Hat, dat Linux-distributies met rsync beheert. Naast Red Hat zijn ook de Linux-distributies van AlmaLinux OS Foundation, Arch, Gentoo Triton Data Center en Ubuntu NiOS kwetsbaar.

Oude tool met bekende problemen

De maintainer (en één van de bedenkers) van rsync, Andrew Tridgell, heeft een update beschikbaar gesteld. Inmiddels is deze al opgevolgd door versie 3.4.1. Het is de eerste keer sinds 2002 dat Tridgell weer een nieuwe release hiervan heeft uitgebracht. De tool zelf stamt af van 1996 en is geschreven in C. Die oudere leeftijd is, in alle eerlijkheid, ook af te lezen aan de (uiteindelijk gewoon functionele) website waarop rsync zich bevindt.

De reeks aan kwetsbaarheden laat zien dat zelfs de oudste utilities nog steeds gevaren bevatten. Populaire open source projecten als deze zitten overal in verstopt. Dat bleek ook bij compressietool xz vorig jaar, waarvan op het nippertje een backdoor werd ontdekt voordat het in een populaire Ubuntu LTS-release was beland.

Lees ook: xz-backdoor toont hoe kwetsbaar open-source is voor hackers met lange adem

Lees meer over Security

Top story

Dynatrace pakt uit: AIOps, CSPM en verbeteringen voor developers

Tijdens het jaarlijkse Perform-evenement in Las Vegas heeft Dynatrace een vloot aan updates aangekondigd. Het...

Erik van Klinken 4 februari 2025

Tech career

Whitepapers

Oude tool rsync is kwetsbaar, 660.000 servers moeten nog patchen

Meer kwetsbaarheden

Oude tool met bekende problemen

Blijf op de hoogte, abonneer!

Wachten met AI is geen optie, waarschuwt Cognizant

Waarom Nvidia’s rivalen denken dat ze het kunnen overtreffen

Appian legt de lat hoog in strijd om process automation-kroon

Vrees voor gebruik Microsoft Exchange Server rijksoverheid

IFS groeit als kool ondanks AI-strategie met de handrem erop

NetSuite zet in op kwalitatieve groei en omarmt Salesforce

Christian Klein: “SAP beschikt over de modernste cloud stack van alle SaaS-vendors”

De visie van NetSuite op generatieve AI en hoe het genAI toepast binnen het platform

Senior Account Solution Architect

Staff Machine Learning Engineer (NLP, LLMs) – new PurpleAI product

Hoe kies je het juiste Enterprise Linux-platform?

AI voorbij de hype: wat is de stand van zaken in Nederland

Veilige toegang met Zero Trust

Beheer risico’s effectief met unified risk posture

AI-Native NOW Live in Amsterdam

Kaseya + Datto Connect Local

IT Master in één Dag

Atlassian Team ’25

VeeamON 2025

GITEX ASIA