Categories: SeguridadVirus

Actualización de seguridad para RSYNC

RSYNC es una excepcional herramienta de sincronización de ficheros, que permite que un cliente y un servidor se mantengan sincronizados sin enviar los ficheros modificados y sin que sea necesario mantener un histórico de cambios. Se trata de una herramienta extraordinariamente útil.

Las versiones de RSYNC anteriores a la 2.6.1 contienen una vulnerabilidad que permite que un atacante remoto pueda escribir un fichero en cualquier posición del disco duro del servidor, si a) el servidor no está configurado para hacer “chroot” y b) el directorio a compartir tiene acceso de escritura.

La recomendación de Hispasec es:

a) Si se gestionan servidores RSYNC, es conveniente actualizar cuanto antes a la versión 2.6.1 o superior. La versión actual es la 2.6.2.

Es muy conveniente verificar la firma digital del fichero RSYNC, que está firmado por “Wayne Davison”. Si no disponemos ya de su clave pública PGP, se puede descargar de cualquier servidor de claves PGP/GPG. En ese caso es conveniente comprobar la huella de dicha clave, que debe ser “0048 C8B0 26D4 C96F 0E58 9C2F 6C85 9FB1 4B96 A8C5”.

En caso de no poder verificar la firma digital, la huella digital MD5 del fichero “rsync-2.6.2.tar.gz” es “bcacd9a9108a9e4760832212ec3d658d”.

b) Salvo casos especiales y meditados, es muy conveniente que se configure el servidor RSYNC para que trabaje en uno o varios (si hay varios perfiles) “chroot” y con privilegios mínimos. Ello limitaría una posible intrusión a un área del sistema, con un impacto mínimo.

La mayoría de los fabricantes que distribuyen RSYNC con sus productos ya han publicado actualizaciones.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago