Se publica una actualización de seguridad de la herramienta «rsync»
para solucionar una vulnerabilidad que permite, bajo ciertas
circunstancias, sobreescribir ficheros arbitrarios en el servidor.
RSYNC es una excepcional herramienta «Open Source» de sincronización de
ficheros, que permite que un cliente y un servidor se mantengan
sincronizados sin enviar los ficheros modificados y sin que sea
necesario mantener un histórico de cambios. Se trata de una herramienta
extraordinariamente útil.
La vulnerabilidad afecta exclusivamente a los servidores RSYNC
configurados sin la opción de «chroot», opción recomendada hasta la
saciedad por los autores de «RSYNC» y reivindicada en estos mismos
boletines Hispasec de forma constante.
En el caso de servidores vulnerables, un atacante podría explotar el
problema de dos maneras:
* Sobreescribiendo ficheros arbitrarios en el sistema servidor, siempre
que el demonio «RSYNC» tuviese los permisos adecuados y se haya
configurado para permitir la escritura por parte de clientes
autorizados.
* Determinar la existencia o no de ficheros arbitrarios en el sistema
servidor.
La vulnerabilidad (y el parche correspondiente para solucionarla) fue
publicada a mediados de Agosto, pero la actualización oficial de
«RSYNC», versión 2.6.3, acaba de salir.
Hispasec recomienda a todos los administradores de servidores «RSYNC»
que actualicen a la versión 2.6.3 y que, por supuesto, configuren el
software con la opción de «chroot» a menos que haya alguna causa de
fuerza mayor que lo impida. Se recomienda la actualización aunque se
haya aplicado el parche a una versión anterior del producto, ya que la
versión 2.6.3 soluciona también otros problemas menores.
Hispasec recuerda también que es muy conveniente verificar la firma
digital del fichero RSYNC, que está firmado por «Wayne Davison
«. Si no disponemos ya de su clave pública PGP, se
puede descargar de cualquier servidor de claves PGP/GPG. En ese caso es
conveniente comprobar la huella de dicha clave, que debe ser «0048 C8B0
26D4 C96F 0E58 9C2F 6C85 9FB1 4B96 A8C5″.
En caso de no poder verificar la firma digital, la huella
digital MD5 del fichero «rsync-2.6.3.tar.gz» es
«2beb30caafa69a01182e71c528fb0393».
jcea@hispasec.com
Más información:
August 2004 Security Advisory
http://samba.anu.edu.au/rsync/#security_aug04
Deja una respuesta