← Voltar ao blog

Patch rsync Corrige Regressões de Atualização de Segurança Afetando Sincronização de Arquivos

O USN-8349-2 do Ubuntu aborda regressões de funcionalidade introduzidas por patches críticos de segurança do rsync. A atualização resolve problemas mantendo as correções para vulnerabilidades de heap overflow, condições de corrida e bypass de controle de acesso.

TL;DR

  • USN-8349-1 corrigiu quatro vulnerabilidades do rsync mas introduziu múltiplas regressões em funcionalidade principal
  • USN-8349-2 resolve os problemas de regressão enquanto preserva fixes de segurança para CVE-2025-10158, CVE-2026-29518 e CVE-2026-41035
  • As vulnerabilidades originais incluíram leitura fora dos limites baseada em heap, escalação de privilégio local via condição de corrida e bypass de controle de acesso baseado em nome de host
  • Sistemas executando daemons rsync devem aplicar o fix de regressão para restaurar operações normais de transferência de arquivo
  • Administradores usando configurações rsync sem chroot enfrentam risco elevado de ataques de path traversal e escalação de privilégio

O Ubuntu lançou o USN-8349-2 para abordar regressões introduzidas pela atualização de segurança anterior do rsync (USN-8349-1). Embora o patch inicial tenha mitigado com sucesso quatro vulnerabilidades distintas afetando a sincronização de arquivos rsync, ele inadvertidamente quebrou múltiplos recursos de funcionalidade principal, levando a esta correção de acompanhamento.

O aviso original abordou problemas críticos incluindo uma vulnerabilidade de leitura fora dos limites baseada em heap que poderia permitir ataques de negação de serviço, uma condição de corrida afetando configurações de daemon não-chrooted que arriscavam sobrescrita de arquivo e escalação de privilégio, e validação inadequada de valores de comprimento de atributo estendido. Além disso, descobriu-se que daemons rsync realizavam lookups de DNS reverso após chrooting em certas configurações, potencialmente contornando controles de acesso baseados em nome de host.

Este patch de regressão restaura operações normais do rsync mantendo as proteções de segurança estabelecidas no USN-8349-1, garantindo que as organizações possam implantar com segurança a atualização sem sacrificar a confiabilidade da transferência de arquivos.

Vulnerabilidades de Segurança Corrigidas no Patch Original

  • CVE-2025-10158: Leitura fora dos limites baseada em heap durante transferências de arquivo permitindo ataques remotos de negação de serviço
  • CVE-2026-29518: Condição de corrida em configurações de daemon não-chrooted permitindo sobrescrita de arquivo local, divulgação de informações e escalação de privilégio
  • CVE-2026-41035: Validação inadequada de comprimento na classificação de atributo estendido levando a condições de negação de serviço
  • Bypass de lookup de DNS reverso de controles de acesso baseados em nome de host em certas configurações de daemon

Impacto de Regressão e Resolução

  • USN-8349-1 introduziu múltiplas regressões afetando funcionalidade principal do rsync e operações de transferência de arquivo
  • USN-8349-2 resolve essas regressões enquanto preserva todos os fixes de segurança do patch original
  • As organizações devem priorizar a aplicação do fix de regressão para restaurar a estabilidade operacional
  • Configurações de daemon rsync não-chrooted permanecem em risco elevado e devem ser revisadas quanto à postura de segurança

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Patch rsync Corrige Regressões de Atualização de Segurança Afetando Sincronização de Arquivos — Agent Breach Blog | Agent Breach