Categories: SeguridadVirus

Vulnerabilidad en RSYNC

RSYNC es una excepcional herramienta de sincronización de ficheros, que

permite que un cliente y un servidor se mantengan sincronizados sin

enviar los ficheros modificados y sin que sea necesario mantener un

histórico de cambios. Se trata de una herramienta extraordinariamente

útil.

Las versiones de RSYNC anteriores a la 2.5.7 contienen

un desbordamiento de búfer que permite que un atacante remoto ejecute

código arbitrario en el servidor.

La recomendación de

Hispasec es:

a) Si se gestionan servidores RSYNC, es conveniente

actualizar cuanto antes a la versión 2.5.7.

Es muy conveniente

verificar la firma digital del fichero RSYNC, que está firmado por

Martin Pool. Si no disponemos ya de su clave pública PGP, se puede

descargar de cualquier servidor de claves PGP/GPG. En ese caso es

conveniente comprobar la huella de dicha clave, que debe ser AFAC 578F

1841 EE6B FD95 E143 3C63 CA3F A0B3 E88B.

En caso de no poder

verificar la firma digital, la huella digital del fichero

rsync-2.5.7.tar.gz es 9b3ec929091d7849f42b973247918a55.

b) Salvo casos especiales y meditados, es muy conveniente que se configure el

servidor RSYNC para que trabaje en uno o varios (si hay varios perfiles)

chroot y con privilegios mínimos. Ello limitaría una posible intrusión

a un área del sistema, con un impacto mínimo.

La

mayoría de los fabricantes que distribuyen RSYNC con sus productos están

publicando ya actualizaciones.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Comprender el valor de la modularidad, tarea pendiente de los directivos

Un estudio de IFS, Boom e IDC revela que solamente un 19 % de las…

5 horas ago

Un 67 % de los consumidores rechaza en España a aquellas empresas que no protegen sus datos

Para garantizar la privacidad, el 30 % se ha pasado a otra compañía durante el…

6 horas ago

Phishing personalizado, malware adaptable y otras tendencias de ciberseguridad para 2025

Check Point Software Technologies prevé que los avances en inteligencia artificial permitirán a pequeños grupos…

7 horas ago

2 de cada 10 españoles usan herramientas de IA como ChatGPT

El 7 % de los internautas recurre a estas aplicaciones de forma habitual y cerca…

8 horas ago

CISO, perfil tecnológico que recibirá la mayor subida salarial en 2025

Le siguen otros profesionales como el gerente de gobernanza, el gestor de datos y el…

9 horas ago

Las 6 profesiones tecnológicas con mayor futuro

Desde el ingeniero en inteligencia artificial al ingeniero de 'prompts', son varios los perfiles que…

1 día ago