Vulnerabilidad en Rsyslog (CVE-2022-24903)

Rsyslog es un sistema muy rápido para el procesamiento de registros. Los módulos para la recepción de syslogs por TCP presentan un potencial desbordamiento del buffer de pila cuando es usado el framing de conteo de octetos. Esto puede resultar en un segfault o algún otro mal funcionamiento. A nuestro entender, esta vulnerabilidad no puede ser usada para una ejecución de código remota. Pero todavía puede haber una pequeña posibilidad de que los expertos lo hagan. El fallo es producido cuando es leído el recuento de octetos. Mientras se presenta una comprobación del número máximo de octetos, los dígitos son escritos en un búfer de montón incluso cuando el recuento de octetos supera el máximo, lo que puede usarse para sobrepasar el búfer de memoria. Sin embargo, una vez que la secuencia de dígitos es detenida, no pueden añadirse más caracteres al búfer. En nuestra opinión, esto hace que las explotaciones remotas sean imposibles o, al menos, muy complejos. El encuadre de octetos es uno de los dos modos de encuadre posibles. Es relativamente infrecuente, pero está habilitado por defecto en los receptores. Los módulos "imtcp", "imptcp", "imgssapi" y "imhttp" son usados para la recepción regular de mensajes syslog. Es una buena práctica no exponerlos directamente al público. Cuando es seguida esta práctica, el riesgo es considerablemente menor. El módulo "imdiag" es un módulo de diagnóstico destinado principalmente a las ejecuciones de los bancos de pruebas. No esperamos que esté presente en ninguna instalación de producción. El framing de octetos no es muy común. Normalmente, es necesario habilitarlo específicamente en los remitentes. Si los usuarios no lo necesitan, pueden deshabilitarlo para los módulos más importantes. Esto mitigará la vulnerabilidad