Ubuntu Corrige Regressão do rsync Após Correção de Segurança Introduzir Problemas de Funcionalidade

Ubuntu lançou USN-8349-3 como um patch de acompanhamento para resolver regressões não intencionais introduzidas pela atualização de segurança anterior do rsync (USN-8349-1). Embora o patch de segurança inicial tenha mitigado com sucesso três vulnerabilidades distintas no rsync, ele inadvertidamente quebrou a funcionalidade principal da ferramenta de sincronização de arquivos.

A correção de regressão mantém todas as melhorias de segurança do aviso original enquanto restaura as operações normais do rsync. Isso aborda um desafio comum em patches de segurança: equilibrar a remediação de vulnerabilidades com a estabilidade da aplicação.

Vulnerabilidades Originais Abordadas

• Leitura fora dos limites baseada em heap durante transferências de arquivos permitindo negação de serviço remota (CVE-2025-10158)
• Race condition em daemons rsync sem proteção chroot permitindo escalação de privilégio local e ataques de sobrescrita de arquivo (CVE-2026-29518)
• Validação de comprimento inadequada na classificação de atributos estendidos levando a negação de serviço (CVE-2026-41035)
• Bypass de lookup de DNS reverso em certas configurações de daemon chrooted

Estratégia de Patch e Considerações de Implantação

• Patches de regressão requerem testes cuidadosos para garantir que as correções de segurança permaneçam intactas enquanto a funcionalidade é restaurada
• Organizações executando servidores rsync devem priorizar a implantação de USN-8349-3 para evitar interrupções operacionais
• A integridade da transferência de arquivos e a postura de segurança do daemon são mantidas na versão atualizada
• Administradores devem verificar a funcionalidade do rsync após a atualização, particularmente para configurações de daemon sem chroot

Fontes

• USN-8349-3: rsync regression