Actualización de seguridad de RSYNC

Se publica una actualización de seguridad de la herramienta “rsync” para solucionar una vulnerabilidad que permite, bajo ciertas circunstancias, sobreescribir ficheros arbitrarios en el servidor.

RSYNC es una excepcional herramienta “Open Source” de sincronización de ficheros, que permite que un cliente y un servidor se mantengan sincronizados sin enviar los ficheros modificados y sin que sea necesario mantener un histórico de cambios. Se trata de una herramienta extraordinariamente útil.

La vulnerabilidad afecta exclusivamente a los servidores RSYNC configurados sin la opción de “chroot”, opción recomendada hasta la saciedad por los autores de “RSYNC” y reivindicada en estos mismos boletines Hispasec de forma constante.

En el caso de servidores vulnerables, un atacante podría explotar el problema de dos maneras:

-Sobreescribiendo ficheros arbitrarios en el sistema servidor, siempre que el demonio “RSYNC” tuviese los permisos adecuados y se haya configurado para permitir la escritura por parte de clientes autorizados.

-Determinar la existencia o no de ficheros arbitrarios en el sistema servidor.

La vulnerabilidad (y el parche correspondiente para solucionarla) fue publicada a mediados de Agosto, pero la actualización oficial de “RSYNC”, versión 2.6.3, acaba de salir.

Hispasec recomienda a todos los administradores de servidores “RSYNC” que actualicen a la versión 2.6.3 y que, por supuesto, configuren el software con la opción de “chroot” a menos que haya alguna causa de fuerza mayor que lo impida. Se recomienda la actualización aunque se haya aplicado el parche a una versión anterior del producto, ya que la versión 2.6.3 soluciona también otros problemas menores.

Hispasec recuerda también que es muy conveniente verificar la firma digital del fichero RSYNC, que está firmado por “Wayne Davison wayned@samba.org”. Si no disponemos ya de su clave pública PGP, se puede descargar de cualquier servidor de claves PGP/GPG. En ese caso es conveniente comprobar la huella de dicha clave, que debe ser “0048 C8B0 26D4 C96F 0E58 9C2F 6C85 9FB1 4B96 A8C5”.

En caso de no poder verificar la firma digital, la huella digital MD5 del fichero “rsync-2.6.3.tar.gz” es “2beb30caafa69a01182e71c528fb0393”.