Rsync, uno strumento a riga di comando che si trova preinstallato in tutte le versioni e le varianti di Ubuntu, era stato di recente afflitto da alcune importanti falle di sicurezza da poco risolte dagli sviluppatori. Lo strumento è utilizzato per la copia e la sincronizzazione veloce dei dati tra dispositivi locali ma anche remoti.
Ubuntu: risolte falli di sicurezza critiche su Rsync
Nonostante molti non ne conoscano l’esistenza, Rsync è un’applicazione che è preinstallata e risiede da tempo su Ubuntu. Nel corso di questa settimana, i ricercatori di sicurezza di Google hanno scoperto importanti vulnerabilità nell’applicativo, che nello specifico interessano sia i componenti server che quelli client e che possono essere sfruttate causando gravi violazioni se non tempestivamente corrette.
Due vulnerabilità che interessano il servizio rsync, categorizzate con il codice CVE-2024-12084 e CVE-2024-12085, consentono l’esecuzione di codice remoto, mentre tre falle relative al client potrebbero consentire a un server malevolo di leggere file, creare collegamenti simbolici non sicuri ed eventualmente sovrascrivere file.
Un’altra vulnerabilità, scoperta da Canonical e categorizzata con il codice CVE-2024-12747, permette di influire sul modo in cui il server rsync gestisce i collegamenti simbolici. Gli utenti che fanno uso di Ubuntu Server devono quindi assicurarsi e verificare che sia stato installato l’aggiornamento appropriato, poiché i server possono essere infrastrutture critiche che gestiscono dati importanti o sensibili.
Gli sviluppatori di Canonical, che si occupano della sicurezza, hanno distribuito questa settimana nuove patch per rsync destinate a tutte le release di Ubuntu supportate. È quindi consigliabile abilitare la funzione “unattended-upgrades” nel sistema, controllando la versione installata per assicurarsi di avere tutti gli aggiornamenti di sicurezza che coprono le recenti falle.
Per effettuare il controll, è possibile digitare il comando “dpkg -l rsync” dal terminale di Ubuntu, e assicurarsi di non aver installato una versione precedente alla 3.1.0 per Ubuntu 14.04 LTS, 3.1.1 per la versione 16.04 LTS del sistema, 3.1.2 se invece si usa 18.04 LTS, 3.1.3 per la versione 20.04 LTS, 3.2.7 per 22.04 LTS e infine 3.2.7 per la più recente 24.04 LTS. Se è installata una versione precedente a quelle indicate, è consigliabile eseguire il comando “sudo apt update” per verificare la disponibilità di aggiornamenti disponibili, quindi “sudo apt upgrade” per procedere subito a installarli.