Rsync mit kritischer Schwachstelle

16.01.2025 - Handlungsempfehlung

Das Synchronisations-Tool Rsync weist eine kritische Sicherheitslücke auf. Nutzende sind aufgefordert, das verfügbare Update einzuspielen.

Bauklotzstapel symbolisieren Sicherheitslücke

Einfache Ausnutzung

Die Kombination aus den beiden Schwachstellen CVE-2024-12084 mit CVSS-Base-Score von 9.8/10 und CVE-2024-12085 mit CVSS-Base-Score von 7.5/10 ermöglicht Cyberkriminellen Remote Code Execution (RCE). Angreifende benötigen hierzu lediglich Lesezugriff auf den Server. Alleine in Deutschland sind ca. 6.600 Rsync-Server über das Internet erreichbar, davon 390 in Baden-Württemberg.

Betroffen ist die Rsync-Version 3.3.0 und alle älteren Versionen. Rsync ist ein Open-Source-Programm zur Datensynchronisation für Unix-ähnliche Betriebssysteme.

Empfehlung

Aktualisieren Sie Rsync auf Version 3.4.0 oder höher.

Weitere Informationen

Release-Note zu Rsync Version 3.4.0 (engl.)
Internet-Auftritt zu Rsync
Schwachstellenmeldung des Bundesamts für Sicherheit in der Informationstechnik