Categories: SeguridadVirus

Vulnerabilidad en rsync

Se ha descubierto una vulnerabilidad en rsync cuando se ejecuta en modo daemon con chroot desactivado. Un usuario remoto podría leer o escribir archivos del sistema blanco del ataque que están localizados fuera de la dirección determinada por el módulo.

RSYNC es una excepcional herramienta de sincronización de ficheros, que permite que un cliente y un servidor se mantengan sincronizados sin enviar los ficheros modificados y sin que sea necesario mantener un histórico de cambios. Se trata de una herramienta extraordinariamente útil.

Un usuario remoto puede enviar un path especialmente creado a tal efecto de tal manera que la función que limpia esas entradas genera un nombre de archivo absoluto en vez de uno relativo. El error reside en la función sanitize_path(). La explotación con éxito de esta técnica permitiría a un atacante leer o escribir archivos en el sistema con los permisos del demonio rsync.

Se dispone de un parche de actualización vía CVS, y se ha publicado la versión 2.6.3pre1 que, entre otros, corrige este problema junto con la incorporación de nuevas características y que está disponible en la dirección http://rsync.samba.org/download.html

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago