Actualización de seguridad para RSYNC

SeguridadVirus

Los usuarios de servidores RSYNC de versiones inferiores a la 2.6.1 son susceptibles a un ataque que permite escribir un fichero arbitrario en cualquier posición del disco duro.

RSYNC es una excepcional herramienta de sincronización de ficheros, que permite que un cliente y un servidor se mantengan sincronizados sin enviar los ficheros modificados y sin que sea necesario mantener un histórico de cambios. Se trata de una herramienta extraordinariamente útil.

Las versiones de RSYNC anteriores a la 2.6.1 contienen una vulnerabilidad que permite que un atacante remoto pueda escribir un fichero en cualquier posición del disco duro del servidor, si a) el servidor no está configurado para hacer “chroot” y b) el directorio a compartir tiene acceso de escritura.

La recomendación de Hispasec es:

a) Si se gestionan servidores RSYNC, es conveniente actualizar cuanto antes a la versión 2.6.1 o superior. La versión actual es la 2.6.2.

Es muy conveniente verificar la firma digital del fichero RSYNC, que está firmado por “Wayne Davison”. Si no disponemos ya de su clave pública PGP, se puede descargar de cualquier servidor de claves PGP/GPG. En ese caso es conveniente comprobar la huella de dicha clave, que debe ser “0048 C8B0 26D4 C96F 0E58 9C2F 6C85 9FB1 4B96 A8C5”.

En caso de no poder verificar la firma digital, la huella digital MD5 del fichero “rsync-2.6.2.tar.gz” es “bcacd9a9108a9e4760832212ec3d658d”.

b) Salvo casos especiales y meditados, es muy conveniente que se configure el servidor RSYNC para que trabaje en uno o varios (si hay varios perfiles) “chroot” y con privilegios mínimos. Ello limitaría una posible intrusión a un área del sistema, con un impacto mínimo.

La mayoría de los fabricantes que distribuyen RSYNC con sus productos ya han publicado actualizaciones.