Détection
Surveiller les arguments de ligne de commande des processus rsync. Alerter sur l’exécution de rsync avec les flags -X ou --xattrs sur les versions affectées.
CVE-2026-41035: rsync receiver use-after-free
Analyse technique
Section intitulée « Analyse technique »La vulnérabilité réside dans receive_xattr où une valeur de longueur non fiable est utilisée lors d’un appel à qsort. Cela conduit à une condition de use-after-free. Le problème est classé sous CWE-130 : Mauvaise gestion de l’incohérence du paramètre de longueur (Improper Handling of Length Parameter Inconsistency). La faille affecte spécifiquement les configurations où les attributs étendus (extended attributes) sont activés, ce qui est une configuration courante dans de nombreux environnements Linux.
- Identifier l’usage : vérifier si rsync est exécuté avec le flag
-Xou--xattrsdans les scripts d’automatisation système ou manuels. - Vérifier la version : confirmer si la version de rsync installée se situe dans la plage vulnérable (3.0.1 - 3.4.1).
- Audit d’environnement : évaluer l’exposition sur les plateformes non-Linux, qui sont notées comme étant plus largement vulnérables.
Investigation forensique
Section intitulée « Investigation forensique »L’analyse forensique doit se concentrer sur l’identification des modèles d’exécution de rsync.
- Analyse des logs : rechercher dans les logs système les commandes rsync utilisant
-Xou--xattrs. - Surveillance des processus : auditer l’historique d’exécution des processus pour identifier des arguments malveillants ou des invocations rsync anormales.
Détection et mitigation
Section intitulée « Détection et mitigation »Mitigation
Mettre à jour rsync vers une version corrigée postérieure à 3.4.1. Si le patch n’est pas immédiatement réalisable, désactiver l’utilisation des attributs étendus (-X / --xattrs) dans les configurations rsync.