Новости · Безопасность файлов

Rclone 1.74.4: обновление закрыло path traversal при извлечении архивов

Разработчики Rclone — популярной консольной утилиты для синхронизации файлов с облаками — выпустили версию 1.74.4. Это релиз безопасности: в нём закрыт целый набор уязвимостей, и главная из них позволяла специально собранному архиву записать файлы за пределами папки распаковки.

18 июля 2026 Редакция LoadFile Чтение 5 мин
Файлы вырываются из папки за границу мимо треснувшего щита — уязвимость path traversal при распаковке архива

Коротко: 8 июля 2026 вышел Rclone 1.74.4 — релиз безопасности. Ключевая правка закрывает уязвимость CVE-2026-59732: команда rclone archive extract могла записать файлы за пределы выбранной папки, если в архиве были пути с ../. В том же обновлении закрыты ещё несколько уязвимостей, включая разбор изображений TIFF и WEBP. Пользователям стоит обновиться до 1.74.4.

Содержание
  1. Что произошло
  2. В чём суть уязвимости CVE-2026-59732
  3. Что ещё закрыли в 1.74.4
  4. Что это значит для работы с файлами
  5. Что делать прямо сейчас
  6. Источники

Что произошло

8 июля 2026 года команда проекта Rclone опубликовала версию 1.74.4. Разработчики прямо называют её релизом безопасности: он исправляет уязвимости как в самом Rclone, так и в его зависимостях, плюс несколько сопутствующих ошибок. Rclone — это кроссплатформенная консольная программа, которая синхронизирует и переносит файлы между локальным диском и десятками облачных хранилищ; ей пользуются и администраторы, и обычные люди для бэкапов.

Центральная правка в списке изменений сформулирована коротко: «archive extract: исправлен path traversal, позволявший архивам выходить за пределы каталога назначения». Уязвимости присвоен идентификатор CVE-2026-59732. Она затрагивала команду rclone archive extract — встроенный распаковщик архивов — во всех версиях до 1.74.4.

В чём суть уязвимости CVE-2026-59732

Уязвимость относится к классу path traversal, а в контексте распаковки архивов её чаще называют Zip Slip. Суть в следующем: имя файла внутри архива — это, по сути, произвольная строка, и туда можно записать не просто photo.jpg, а путь с «выходом наверх» вроде ../../secret.conf. Если распаковщик слепо доверяет этому имени, он запишет файл не в выбранную папку, а туда, куда указывает путь.

Именно это и происходило в rclone archive extract до версии 1.74.4. По описанию разработчиков, при извлечении подготовленного архива с элементами вроде ../ в путях файлы могли создаваться или перезаписываться за пределами выбранного каталога назначения — в соседних объектах того же хранилища или диапазона путей. Практический риск — подмена или порча чужих файлов рядом с местом распаковки.

!
Почему это важно

Zip Slip — не экзотика, а одна из самых распространённых ошибок при работе с архивами: за годы её находили в библиотеках и приложениях на всех популярных языках. Опасность в том, что вредоносным может оказаться совершенно обычный на вид архив, а сработает всё в момент распаковки — без запуска какого-либо «файла-вируса».

Что ещё закрыли в 1.74.4

Path traversal в распаковке — не единственная правка. Релиз 1.74.4 закрывает сразу пакет уязвимостей, и многие из них тоже связаны с обработкой файлов:

  • Разбор изображений TIFF и WEBP. Вместе с обновлением языка Go в Rclone приехали исправления в стандартной библиотеке: аварийное завершение при разборе TIFF-изображения с некорректным смещением полосы (CVE-2026-46604), неограниченное потребление памяти из-за отсутствия лимита на размер тайлов TIFF (CVE-2026-46602), сбой на несоответствии размера альфа-канала в WEBP/VP8 (CVE-2026-46601) и падение при декодировании большого WEBP на 32-битных платформах (CVE-2026-33813).
  • Режимы serve. Исправлен обход изоляции приватных репозиториев в serve restic (CVE-2026-59733) и ещё один path traversal в serve s3, из-за которого клиенты могли видеть файлы в корне (GHSA-8v25-v8p6-qf7v).
  • Симлинки и метаданные. Rclone перестал давать символическим ссылкам с ключом --links уходить за пределы каталога назначения (CVE-2026-54572), а также по умолчанию больше не восстанавливает биты setuid/setgid/sticky из метаданных.
  • Обновление Go. Переход на Go 1.26.5 закрыл сопутствующие уязвимости в самой платформе — в том числе побег из корня через симлинк с завершающим слэшем (CVE-2026-39822) и утечку приватности в Encrypted Client Hello (CVE-2026-42505).

Что это значит для работы с файлами

Главный вывод — не про конкретную программу, а про привычку. Любой инструмент, который распаковывает архивы или принимает файлы из сети, обрабатывает потенциально недоверенные данные. Архив, картинка, документ — это не пассивный «набор байт», а вход для парсера, в котором может быть ошибка. Поэтому распаковщики, конвертеры и синхронизаторы важно держать в актуальном состоянии так же, как браузер.

История Rclone 1.74.4 хорошо это иллюстрирует: в одном релизе — и Zip Slip в распаковке, и падения на кривых TIFF/WEBP. Если вы часто работаете с архивами, освежить основы помогут наши разборы — чем открыть RAR, — а общие правила безопасной работы с загрузками собраны в разделе безопасность файлов: как проверять вложения и не открывать подозрительное содержимое. Присланный файл вызывает сомнения — предварительно проверьте его на вирусы.

Похожие сюжеты этой недели — уже привычная лента правок в файловых утилитах: WinRAR закрыл heap-переполнение в архивах, а в 7-Zip нашли брешь в разборе XZ.

Что делать прямо сейчас

  1. Проверьте версию командой rclone version. Если это 1.74.3 или старше — обновитесь до 1.74.4 или новее.
  2. Скачивайте Rclone только с официального сайта rclone.org или из доверенного репозитория дистрибутива. Не берите бинарники со случайных «зеркал».
  3. Не распаковывайте архивы из недоверенных источников до обновления. Особенно это касается автоматических пайплайнов, где rclone archive extract запускается по расписанию.
  4. Если Rclone встроен в ваш сервис или контейнер — пересоберите образ на базе 1.74.4, чтобы подтянуть и правку распаковки, и обновлённую платформу Go.

Обновление бесплатно и не меняет привычные команды — это тихая, но важная заплатка безопасности для тех, кто ежедневно гоняет файлы между дисками и облаками.

Источники

Читайте также