Debian-facile

Fuca le Ficus

Membre

Distrib. : Jessie 8

Noyau : Linux 3.16.0-4-amd64

(G)UI : XFCE

Inscription : 28-02-2017

Sécurisation serveur RSYNC

Bonjour à tous,
j'ai mis en place un serveur Rsync sous Debian (évidemment ).
Tout semble bien fonctionné niveau sauvegardes.
Pour autant j'entends de-ci de-là quelques mauvaises langues parler de failles sur ce protocole.
Auriez vous des infos par hasard? Parce que je ne trouve pas grand-chose sur notre ami l'Internet.
Merci par avance de vos éclaircissements

---

Aaaaah courir dans les champs de blé!

Fuca le Ficus

Membre

Distrib. : Jessie 8

Noyau : Linux 3.16.0-4-amd64

(G)UI : XFCE

Inscription : 28-02-2017

Re : Sécurisation serveur RSYNC

Le protocole rsync est en version 3.1.2 et le site de rsync https://rsync.samba.org/security.html propose une version 3.1.3
Savez vous si une maj sera proposé par Debian?

---

Aaaaah courir dans les champs de blé!

smolski

quasi...modo

Lieu : AIN

Distrib. : backports (buster) 10

Noyau : Linux 4.19.0-8-amd64

(G)UI : gnome

Inscription : 21-10-2008

Re : Sécurisation serveur RSYNC

Distrib. : Jessie 8
Tu utilises oldstable, sur stable+backports, j'ai :

apt-cache policy rsync

rsync:
  Installé : 3.1.2-1+deb9u1
  Candidat : 3.1.2-1+deb9u1
 Table de version :
 *** 3.1.2-1+deb9u1 500
        500 http://security.debian.org stretch/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     3.1.2-1 500
        500 http://ftp.ch.debian.org/debian stretch/main amd64 Packages

Pas mieux.

---

saque eud dun (patois chtimi : fonce dedans)

Fuca le Ficus

Membre

Distrib. : Jessie 8

Noyau : Linux 3.16.0-4-amd64

(G)UI : XFCE

Inscription : 28-02-2017

Re : Sécurisation serveur RSYNC

Bonjour Smolski
content de te revoir et merci de ta réponse.
En fait le serveur est en Debian9.3.
Le retour avec ta commande est le même que toi.

En fait je ne comprends pas ce que veux dire le site que je donne plus haut par:"vous devez ajouter la règle "refuse options = protect-args" si vous ne faites pas totalement confiance aux utilisateurs....."
Est ce que cela concerne le fichier de conf rsync (/etc/rsyncd.conf)? ou le fichier du démon (/etc/default/rsync)? ou autre?

Enfin la version 3.1.2 date de 2015, la 3.1.3 de 01/2018; je pense qu'elle a été développée suite à une faille que je viens de trouver par hasard sur vigilance.fr
Je la met ci-dessous pour ceux qui n'ont pas de compte sur leur site.

Synthèse de la vulnérabilité
Une vulnérabilité de rsync a été annoncée.
Produits concernés : Debian, Fedora, Ubuntu.
Gravité : 2/4.
CVSSv2 de base du NVD : 5.0/10.
CVSSv2 de base automatique : 6.8/10.
CVSSv3 temporel automatique : 6.4/10.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Moyen d'attaque : aucun démonstrateur, aucune attaque.
Compétence de l'attaquant : expert (4/4).
Confiance : confirmé par l'éditeur (5/5).
Diffusion de la configuration vulnérable : élevée (3/3).
Qualification de ce bulletin : non étudié (1/4).
Date création : 19/01/2018.
Références : CVE-2018-5764 (NVD), VIGILANCE-VUL-25119.
Description de la vulnérabilité
Une vulnérabilité de rsync a été annoncée.
Une analyse détaillée n'a pas été effectuée pour ce bulletin.

Merci

Dernière modification par Fuca le Ficus (22-02-2018 19:02:09)

---

Aaaaah courir dans les champs de blé!