Patchato pericoloso bug in rsync

Gli sviluppatori del noto tool di sincronizzazione e trasferimento dati rsync hanno rilasciato la versione 3.0.2 che chiude una pericolosa vulnerabilità. Un buffer overflow legato agli extended attributes (xattr) consentirebbe l’injection remota e l’esecuzione di codice arbitrario sui sistemi attaccati.
Nonostante le versioni dalla 2.6.9 alla 3.0.1 di rsync siano affette dal problema, la funzionalità xattr non è supporta di default su tutti i sistemi.

L’aggiornamento risolve il problema. In alternativa gli utenti che usano il demone rsync possono editare il file di configurazione /etc/rsyncd.conf e aggiungere/modificare la seguente linea:
refuse options = xattrs

Già disponibili i packages aggiornati per la stragrande maggioranza di distribuzioni linux.

Informazioni aggiuntive:
* Xattr security fix in 3.0.2, security advisory by the developers
* Security hole closed in rsync file transfer tool, by Heise Security

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *