Una vulnerabilità (CVE-2022-29154) hè stata identificata in rsync, una utilità per a sincronizazione di u schedariu è a copia di salvezza, chì permette à i fugliali arbitrarii in u repertoriu di destinazione esse scritti o sovrascritti da l'utilizatori quandu accede à un servitore rsync cuntrullatu da un attaccu. Potenzialmente, l'attaccu pò ancu esse realizatu com'è u risultatu d'interferenza (MITM) cù u trafficu di transitu trà u cliente è u servitore legittimu. U prublema hè risoltu in a versione di prova Rsync 3.2.5pre1.
A vulnerabilità hè reminiscente di prublemi passati in SCP è hè ancu causata da u servitore chì piglia una decisione nantu à u locu di u schedariu per esse scrittu, è u cliente ùn cuntrolla micca bè ciò chì hè tornatu da u servitore cù ciò chì hè statu dumandatu, chì permette à u servitore scrive i fugliali chì ùn sò micca urigginariamente dumandati da u cliente. Per esempiu, se un utilizatore copia i schedari à u cartulare di casa, u servitore pò rinvià i schedari chjamati .bash_aliases o .ssh/authorized_keys invece di i schedari dumandati, è seranu guardati in u cartulare di casa di l'utilizatori.
Source: opennet.ru