O Rsync, uma das ferramentas mais utilizadas para transferência e sincronização incremental de arquivos, recebeu a versão 3.4, que traz correções críticas devido a vulnerabilidades de segurança recém-descobertas.
Apesar de não trazer novos recursos, o Rsync 3.4 é um lançamento essencial, resultado de descobertas realizadas pela equipe de Pesquisa de Vulnerabilidades da Google Cloud e Aleksei Gorban. Seis falhas importantes foram identificadas e corrigidas:
- CVE-2024-12084: Heap Buffer Overflow durante o parsing de checksums.
- CVE-2024-12085: Vazamento de informações que compromete a ASLR.
- CVE-2024-12086: O servidor pode expor arquivos arbitrários do cliente.
- CVE-2024-12087: Escrita de arquivos fora do diretório de destino usando links simbólicos.
- CVE-2024-12088: Bypass do parâmetro –safe-links.
- CVE-2024-12747: Condição de corrida em links simbólicos.
Além das correções de segurança, esta versão introduz melhorias internas, como builds contínuos para FreeBSD e Solaris e pequenas correções de bugs, incluindo:
- Ajustes no suporte ao IPv6.
- Correção de erro de memória no popt em versões modernas do GCC.
- Ajustes na configuração de ACLs no macOS.
O número do protocolo do Rsync foi atualizado para 32, facilitando a verificação de servidores atualizados.
Para mais detalhes sobre as vulnerabilidades, consulte o relatório oficial ou acesse a página do projeto Samba.