RSYNC es una excepcional herramienta de sincronización de ficheros, que
permite que un cliente y un servidor se mantengan sincronizados sin
enviar los ficheros modificados y sin que sea necesario mantener un
histórico de cambios. Se trata de una herramienta extraordinariamente
útil.
Las versiones de RSYNC anteriores a la 2.5.7 contienen
un desbordamiento de búfer que permite que un atacante remoto ejecute
código arbitrario en el servidor.
La recomendación de
Hispasec es:
a) Si se gestionan servidores RSYNC, es conveniente
actualizar cuanto antes a la versión 2.5.7.
Es muy conveniente
verificar la firma digital del fichero RSYNC, que está firmado por
Martin Pool. Si no disponemos ya de su clave pública PGP, se puede
descargar de cualquier servidor de claves PGP/GPG. En ese caso es
conveniente comprobar la huella de dicha clave, que debe ser AFAC 578F
1841 EE6B FD95 E143 3C63 CA3F A0B3 E88B.
En caso de no poder
verificar la firma digital, la huella digital del fichero
rsync-2.5.7.tar.gz es 9b3ec929091d7849f42b973247918a55.
b) Salvo casos especiales y meditados, es muy conveniente que se configure el
servidor RSYNC para que trabaje en uno o varios (si hay varios perfiles)
chroot y con privilegios mínimos. Ello limitaría una posible intrusión
a un área del sistema, con un impacto mínimo.
La
mayoría de los fabricantes que distribuyen RSYNC con sus productos están
publicando ya actualizaciones.
La mayoría de empresas de pequeño y mediano tamaño ha sufrido durante el último año…
ShrinkLocker Decryptor es una herramienta gratuita que ayuda a recuperar los datos perdidos.
Dell pretende que "las organizaciones puedan utilizar continuamente los últimos avances de IA en el…
Introduce cinco nuevas soluciones HPE Cray con arquitectura de refrigeración líquida directa y dos servidores…
Las entradas para acudir a este parque temático que defiende un turismo sostenible saldrán a…
Amplía la disponibilidad de actualizaciones y parches críticos para ambos sistemas operativo hasta agosto de…