Questa settimana, i ricercatori di sicurezza Google hanno rivelato importanti vulnerabilità nel pacchetto rsync di Ubuntu, che interessano sia i suoi componenti server che client. Tali vulnerabilità, sono state corrette con il rilascio di Rsync 3.4. Per chi non lo sapesse già, Rsync è uno strumento a riga di comando preinstallato in tutte le versioni di Ubuntu di Canonical. È utilizzato per la copia e la sincronizzazione efficiente dei dati tra posizioni, sia locali sia remote. Tra le vulnerabilità rilevate nel daemon rsync, un paio di esse (CVE-2024-12084 e CVE-2024-12085) consentono l’esecuzione di codice remoto. Inoltre, tre falle nel client potrebbero consentire a un server dannoso di leggere file, creare collegamenti simbolici non sicuri e sovrascrivere file.

Evidenziando i problemi, Canonical afferma di aver scoperto anche una sesta vulnerabilità (CVE-2024-12747). Quest’ultima influisce sul modo in cui il server rsync gestisce i collegamenti simbolici. Gli utenti di Ubuntu Server dovrebbero prestare particolare attenzione a verificare che gli aggiornamenti rilevanti siano stati applicati, poiché i server spesso rappresentano un’infrastruttura critica, gestendo dati importanti o sensibili.

Il team di sicurezza di Canonical ha distribuito questa settimana versioni patchate di rsync a tutte le release di Ubuntu supportate. Gli utenti che non hanno abilitato gli aggiornamenti automatici non supervisionati sul proprio sistema dovrebbero verificare se l’update è stato installato. In caso contrario, bisognerà procedere con l’installazione. Come prevedibile, questo update non include nuove funzionalità. Si tratta di un back-porting di una versione più recente di Rsync su release precedenti. È comunque possibile verificare manualmente quale versione di rsync è installata in Ubuntu. Basta soltanto digitare dpkg -l rsync sul terminale. Dall’output mostrato, basterà poi controllare il numero di versione con le versioni patchate elencate su Launchpad.

Se è installata una versione precedente, basta eseguire il comando sudo apt update per verificare gli ultimi aggiornamenti disponibili. In seguito, eseguire sudo apt upgrade per scaricarli e applicarli. Su Ubuntu Server non è sempre consigliabile installare tutti gli aggiornamenti. Se si desidera installare solo Rsync, basta digitare il comando sudo apt install –only-upgrade. Naturalmente, l’aggiornamento è fortemente consigliato e permette di evitare possibili problemi futuri.