Patchato pericoloso bug in rsync
Massimo Rabbi | 12 aprile 2008 | 12:27Gli sviluppatori del noto tool di sincronizzazione e trasferimento dati rsync hanno rilasciato la versione 3.0.2 che chiude una pericolosa vulnerabilità. Un buffer overflow legato agli extended attributes (xattr) consentirebbe l’injection remota e l’esecuzione di codice arbitrario sui sistemi attaccati.
Nonostante le versioni dalla 2.6.9 alla 3.0.1 di rsync siano affette dal problema, la funzionalità xattr non è supporta di default su tutti i sistemi.
L’aggiornamento risolve il problema. In alternativa gli utenti che usano il demone rsync possono editare il file di configurazione /etc/rsyncd.conf e aggiungere/modificare la seguente linea:
refuse options = xattrs
Già disponibili i packages aggiornati per la stragrande maggioranza di distribuzioni linux.
Informazioni aggiuntive:
* Xattr security fix in 3.0.2, security advisory by the developers
* Security hole closed in rsync file transfer tool, by Heise Security
