Identifikovana je ranjivost (CVE-2022-29154) u rsync, uslužnom programu za sinhronizaciju datoteka i pravljenje rezervnih kopija, koji omogućava da se proizvoljne datoteke u ciljnom direktorijumu upisuju ili prepisuju na strani korisnika kada pristupaju rsync serveru koji kontroliše napadač. Potencijalno, napad se može izvesti i kao rezultat ometanja (MITM) tranzitnog saobraćaja između klijenta i legitimnog servera. Problem je riješen u testnom izdanju Rsync 3.2.5pre1.
Ranjivost podsjeća na prošle probleme u SCP-u, a također je uzrokovana time što server donosi odluku o lokaciji datoteke koja će biti upisana, a klijent ne provjerava ispravno ono što server vraća sa onim što je traženo, dozvoljavajući serveru da pisati fajlove koje klijent nije prvobitno zahtevao. Na primjer, ako korisnik kopira datoteke u kućni direktorij, server može vratiti datoteke pod nazivom .bash_aliases ili .ssh/authorized_keys umjesto traženih datoteka i oni će biti pohranjeni u korisnikovom kućnom direktoriju.
izvor: opennet.ru