Rsync ha un problema di Remote Code Execution, ma fortunatamente le fix sono già disponibili
Il popolarissimo software rsync, usato quotidianamente da migliaia di utenti ed integrato in molti dei tool che si occupano di gestire copie e sincronizzazioni tra vari dispositivi ha qualche problema di sicurezza, la cui gravità è stata considerata da tutte le testate che hanno riportato la notizia (oltre che dai ricercatori Google che hanno fatto la scoperta) come “importante”.
Secondo Bleeping Computer sono più di 660.000 server esposti alle vulnerabilità (6 vulnerabilità identificate al momento), la più grave delle quali ha un punteggio di 9.8.
Ma perché si parla di server quando ci si riferisce a rsync?
Una degli aspetti particolari di questo software, che magari qualcuno ignora, è la modalità di funzionamento. Se infatti è vero che normalmente viene usato per sincronizzare tra sorgenti e destinazioni locali, ad esempio una cartella home ed un disco USB, allo stesso tempo rsync può essere utilizzato per la sincronizzazione di sorgenti e destinazioni remote, funzionando nella classica modalità client/server, proprio questo aspetto riguarda le vulnerabilità scoperte.
I ricercatori di Google hanno scoperto come la componente server di rsync sia vulnerabile a un heap buffer overflow (identificato dalla CVE CVE-2024-12084) e ad una esposizione di informazioni derivante da quelli che vengono definiti uninitialized stack data (CVE-2024-12085).
La sostanza è che combinando queste 2 vulnerabilità, si potrebbe eseguire da remoto codice arbitrario sulla macchina server rsync.
Come fa notare Red Hat, che indica ovviamente la CVE-2024-12084 come critica, la vulnerabilità non ha particolari mitigazioni ed è presente e sfruttabile in tutte le configurazioni di default di rsync, pertanto è importante attivarsi per gli aggiornamenti quanto prima.
Il problema riguarda rsync v3.2.7 quindi, tanto per citarne una, Ubuntu 24.04 LTS e Debian 12 hanno il problema, e come cita il sito ufficiale https://rsync.samba.org/ (sì, è “sotto l’ala” di SAMBA) il consiglio per tutti è di aggiornare alla v3.4.0 che è stata pubblicata il 15 gennaio 2025.
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
