Rsync 3.4 Llega con Parcheo de Seis Vulnerabilidades Críticas y Mejoras en Compatibilidad

Published:

La última versión de Rsync, 3.4, acaba de ser lanzada, abordando seis vulnerabilidades críticas que afectan a las versiones 3.3 y anteriores. Además de resolver estos problemas de seguridad, la actualización incluye mejoras en compatibilidad, flujo de trabajo y soporte para plataformas adicionales.

Principales vulnerabilidades resueltas

1. CVE-2024-12084: Desbordamiento de búfer en el daemon de Rsync

  • Una vulnerabilidad basada en el heap ocurre cuando un checksum malicioso supera los 16 bytes. Esto permite a los atacantes escribir datos fuera de los límites de la memoria asignada.

2. CVE-2024-12085: Lectura de memoria no inicializada

  • Un fallo durante la comparación de checksums permite a los atacantes manipular longitudes de checksum para filtrar un byte de datos de la pila a la vez.

3. CVE-2024-12086: Lectura de archivos del cliente

  • Un servidor malicioso puede enviar checksums diseñados específicamente para reconstruir los contenidos de archivos en la máquina cliente, leyendo datos byte a byte.

4. CVE-2024-12087: Vulnerabilidad de recorrido de directorios

  • Al usar la opción --inc-recursive, Rsync permite que un servidor malicioso escriba archivos fuera del directorio esperado debido a verificaciones inadecuadas de symlinks.

5. CVE-2024-12088: Fallo en la opción --safe-links

  • Rsync no valida correctamente symlinks anidados, lo que puede resultar en un recorrido de rutas y escritura de archivos fuera del directorio permitido.

6. CVE-2024-12747: Condición de carrera en manejo de symlinks

  • Una condición de carrera en el manejo de symlinks permite que un atacante reemplace un archivo regular por un symlink en el momento adecuado, lo que puede resultar en acceso a información sensible o escalada de privilegios.

Cambios y mejoras adicionales en Rsync 3.4

Además de las correcciones de seguridad, Rsync 3.4 incluye varias mejoras notables:

  • IPv6: Resolución de un problema relacionado con el tipo de retorno en la comprobación de IPv6, mejorando la funcionalidad de redes modernas.
  • CI de FreeBSD: Migración del pipeline de integración continua a GitHub Actions.
  • Proxy SSL y regular: Se añadieron pistas para habilitar un único proxy que maneje flujos de datos simples y SSL simultáneamente.
  • Código limpio: Silenciado de advertencias del compilador relacionadas con variables no utilizadas, reduciendo el desorden en el código.
  • Popt actualizado a 1.19: Mejoras en el análisis de la línea de comandos para mayor consistencia.
  • Instalación de dependencias en Ubuntu: Un nuevo script (install_deps_ubuntu.sh) facilita la instalación de dependencias requeridas.
  • Soporte para Solaris: Inclusión de un objetivo de compilación específico para ampliar la cobertura de sistemas operativos.
  • Apple Silicon: Actualización de rutas del enlazador para dispositivos Apple Silicon, garantizando compilación y enlace sin problemas.

Recomendaciones

Si estás utilizando una versión anterior de Rsync, es fundamental actualizar a Rsync 3.4 para mitigar las vulnerabilidades descritas. Revisa el cambio completo (changelog) para más detalles sobre esta actualización crítica.

Mantén tu entorno seguro y aprovecha las mejoras en compatibilidad y flujo de trabajo que ofrece esta nueva versión.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles