Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los investigadores de Google Cloud descubren fallas en la herramienta de sincronización de archivos Rsync
  • Tecnología

Los investigadores de Google Cloud descubren fallas en la herramienta de sincronización de archivos Rsync

teknomers 15 de Ocak de 2025 (Last updated: 15 de Ocak de 2025) 3 minutes read
Los investigadores de Google Cloud descubren fallas en la herramienta


15 de enero de 2025Ravie LakshmananVulnerabilidad/Actualización de software

Se han revelado hasta seis vulnerabilidades de seguridad en el popular sincronización Herramienta de sincronización de archivos para sistemas Unix, algunos de los cuales podrían explotarse para ejecutar código arbitrario en un cliente.

“Los atacantes pueden tomar el control de un servidor malicioso y leer/escribir archivos arbitrarios de cualquier cliente conectado”, afirma el Centro de Coordinación del CERT (CERT/CC) dicho en un aviso. “Se pueden extraer datos confidenciales, como claves SSH, y se puede ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt”.

Ciberseguridad

Las deficiencias, que incluyen desbordamiento del buffer, divulgación de información, fuga de archivos, escritura de archivos en directorios externos y condiciones de carrera de enlaces simbólicos, se enumeran a continuación:

  • CVE-2024-12084 (Puntuación CVSS: 9,8) – Desbordamiento del búfer de montón en Rsync debido a un manejo inadecuado de la longitud de la suma de comprobación
  • CVE-2024-12085 (Puntuación CVSS: 7,5) – Fuga de información a través de contenidos de pila no inicializados
  • CVE-2024-12086 (Puntuación CVSS: 6.1) – El servidor Rsync filtra archivos de cliente arbitrarios
  • CVE-2024-12087 (Puntuación CVSS: 6,5) – Vulnerabilidad de recorrido de ruta en Rsync
  • CVE-2024-12088 (Puntuación CVSS: 6,5) – La opción de bypass de enlaces seguros conduce a un recorrido de ruta
  • CVE-2024-12747 (Puntuación CVSS: 5,6) – Condición de carrera en Rsync al manejar enlaces simbólicos

A Simon Scannell, Pedro Gallegos y Jasiel Spelman de Google Cloud Vulnerability Research se les atribuye el descubrimiento y el informe de las primeras cinco fallas. El investigador de seguridad Aleksei Gorban ha sido reconocido por la falla de la condición racial del vínculo simbólico.

“En el CVE más severo, un atacante sólo requiere acceso de lectura anónimo a un servidor Rsync, como un espejo público, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor”, Nick Tait de Red Hat Product Security dicho.

CERT/CC también señaló que un atacante podría combinar CVE-2024-12084 y CVE-2024-12085 para lograr la ejecución de código arbitrario en un cliente que tenga un servidor Rsync en ejecución.

Se han publicado parches para las vulnerabilidades en Rsync versión 3.4.0que estuvo disponible hoy. Para los usuarios que no pueden aplicar la actualización, se recomiendan las siguientes mitigaciones:

Ciberseguridad
  • CVE-2024-12084 – Deshabilite el soporte SHA* compilando con CFLAGS=-DDISABLE_SHA512_DIGEST y CFLAGS=-DDISABLE_SHA256_DIGEST
  • CVE-2024-12085 – Compile con -ftrivial-auto-var-init=zero para poner a cero el contenido de la pila

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: El Parlamento flamenco guarda un minuto de silencio por el negador del Holocausto, Groen, Vooruit y PVDA abandonan el hemisferio
Next: Detenido el sospechoso de la explosión en el hospital de la Cruz Roja de Beverwijk

Related Stories

  • Tecnología

Nothing Projector: hasta 420 € de descuento en las pantallas Black Series para disfrutar de las noches con amigos en (muy) grande

teknomers 10 de Temmuz de 2026
¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software
  • Tecnología

¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software a menos de 22€ lo soluciona de por vida.

teknomers 10 de Temmuz de 2026
Volotea aumentaba el precio de los billetes después de la
  • Tecnología

Volotea aumentaba el precio de los billetes después de la compra, una práctica que ha disparado la represión de fraudes.

teknomers 10 de Temmuz de 2026

You May Have Missed

  • Tecnología

Nothing Projector: hasta 420 € de descuento en las pantallas Black Series para disfrutar de las noches con amigos en (muy) grande

teknomers 10 de Temmuz de 2026
DESCIFRADO. "El Tarn no está listo para un club gay"...
  • salud

DESCIFRADO. “El Tarn no está listo para un club gay”… ¿Por qué el proyecto del Rainbow Club finalmente fracasó cerca de Albi?

teknomers 10 de Temmuz de 2026
Patrick Bruel enfrentará una nueva demanda por violación de una
  • Entretenimiento

Patrick Bruel enfrentará una nueva demanda por violación de una víctima menor de edad.

teknomers 10 de Temmuz de 2026
  • Deporte

Rumores del fútbol: Salah, Olise, Adeyemi, Geertruida, Alvarez, Palhinha

teknomers 10 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.