Ang usa ka kahuyang (CVE-2022-29154) giila sa rsync, usa ka gamit alang sa pag-synchronize sa file ug pag-backup, nga nagtugot sa mga arbitraryong file sa target nga direktoryo nga isulat o ma-overwrit sa kilid sa user kung mag-access sa usa ka rsync server nga kontrolado sa usa ka tig-atake. Posible, ang pag-atake mahimo usab nga himuon ingon usa ka sangputanan sa pagpanghilabot (MITM) sa trapiko sa transit tali sa kliyente ug sa lehitimong server. Ang isyu naayo sa Rsync 3.2.5pre1 nga pagsulay nga pagpagawas.
Ang pagkahuyang nagpahinumdum sa nangaging mga isyu sa SCP ug tungod usab sa paghimo sa server og desisyon bahin sa lokasyon sa file nga isulat, ug ang kliyente dili husto nga pagsusi kung unsa ang gibalik sa server kung unsa ang gihangyo, nga gitugotan ang server sa isulat ang mga file nga dili orihinal nga gihangyo sa kliyente. Pananglitan, kon ang usa ka user mokopya sa mga file ngadto sa home directory, ang server mahimong mag-uli sa mga file nga ginganlan og .bash_aliases o .ssh/authorized_keys imbes sa gihangyo nga mga file, ug kini itago sa home directory sa user.
Source: opennet.ru