Ubuntu : 6 vulnérabilités majeures détectées dans rsync, mettez à jour votre système !

Si vous utilisez un système basé sur Ubuntu, comme Ubuntu, Kubuntu, Lubuntu ou même Linux Mint, il est impératif d’appliquer les dernières mises à jour pour corriger une série de vulnérabilités dans le paquet rsync. Ces failles permettent l’exécution de code à distance, affectant aussi bien les serveurs que les machines clientes.

Info : rsync est un outil populaire sur Linux utilisé pour transférer et synchroniser des fichiers entre différents emplacements, que ce soit localement ou via un réseau. Il est particulièrement apprécié pour sa capacité à ne transférer que les parties modifiées des fichiers, rendant les transferts rapides et efficaces. Idéal pour les sauvegardes et la gestion des fichiers, rsync est préinstallé sur de nombreux systèmes Ubuntu.

Table des matières

Des vulnérabilités critiques identifiées
Comment protéger son système ?
Conclusion

Des vulnérabilités critiques identifiées

Dans un rapport publié par Canonical, il est précisé que plusieurs chercheurs en sécurité de Google — Pedro Gallegos, Simon Scannell et Jasiel Spelman — ont découvert des failles majeures dans rsync, touchant à la fois les serveurs et les clients. Voici les vulnérabilités concernées :

CVE-2024-12084 et CVE-2024-12085 : permettent une exécution de code à distance sur les serveurs.
CVE-2024-12086 : permet à un serveur malveillant de lire des fichiers arbitraires sur un client.
CVE-2024-12087 : rend possible la création de liens symboliques non sécurisés.
CVE-2024-12088 : autorise l’écrasement de fichiers arbitraires dans certaines circonstances.
CVE-2024-12747 : découverte par Aleksei Gorban, elle concerne la gestion des symlinks par les serveurs rsync.

Canonical a déjà publié des correctifs pour toutes les versions prises en charge d’Ubuntu, corrigeant ainsi toutes ces vulnérabilités.

Comment protéger son système ?

Vérifiez la version de rsync actuellement installée sur votre machine avec la commande :

Bash

dpkg -l rsync

Si votre version est inférieure à celle corrigée pour votre version d’Ubuntu, effectuez une mise à jour immédiate via le gestionnaire de paquets APT :

Bash

sudo apt update
sudo apt install --only-upgrade rsync

Voici les versions corrigées disponibles pour chaque version d’Ubuntu :

Version	Nom du paquet	Version corrigée
Trusty (14.04 LTS)	rsync	3.1.0-2ubuntu0.4+esm1
Xenial (16.04 LTS)	rsync	3.1.1-3ubuntu1.3+esm3
Bionic (18.04 LTS)	rsync	3.1.2-2.1ubuntu1.6+esm1
Focal (20.04 LTS)	rsync	3.1.3-8ubuntu0.8
Jammy (22.04 LTS)	rsync	3.2.7-0ubuntu0.22.04.3
Noble (24.04 LTS)	rsync	3.2.7-1ubuntu1.1
Oracular (24.10)	rsync	Non disponible

Si vous utilisez Ubuntu 16.04 LTS ou une version plus récente, la fonctionnalité unattended-upgrades est activée par défaut. Cela signifie que les mises à jour de sécurité seront appliquées automatiquement dans les 24 heures suivant leur disponibilité. Cependant, si vous avez désactivé cette option ou utilisez une distribution différente, vous devrez les installer manuellement.

Conclusion

Ces vulnérabilités impactent autant les serveurs que les ordinateurs personnels. Pire encore, elles permettent des attaques à distance sans interaction de l’utilisateur. Si vous utilisez rsync — un outil clé pour la synchronisation et la sauvegarde des fichiers — ne pas appliquer ces correctifs pourrait exposer vos données et systèmes à des risques sérieux. Donc un petit conseil : mettez à jour votre système basé sur Ubuntu dès maintenant !