Mae bregusrwydd (CVE-2022-29154) wedi'i nodi yn rsync, cyfleustodau ar gyfer cydamseru ffeiliau a gwneud copi wrth gefn, sy'n caniatáu i ffeiliau mympwyol yn y cyfeiriadur targed gael eu hysgrifennu neu eu trosysgrifo ar ochr y defnyddiwr wrth gyrchu gweinydd rsync a reolir gan ymosodwr. O bosibl, gellir cynnal yr ymosodiad hefyd o ganlyniad i ymyrraeth (MITM) â thraffig cludo rhwng y cleient a'r gweinydd cyfreithlon. Mae'r mater yn sefydlog yn y datganiad prawf Rsync 3.2.5pre1.
Mae'r bregusrwydd yn atgoffa rhywun o faterion yn y gorffennol yn SCP ac mae hefyd yn cael ei achosi gan y gweinydd yn gwneud penderfyniad ynghylch lleoliad y ffeil i'w hysgrifennu, a'r cleient ddim yn gwirio'n iawn yr hyn a ddychwelir gan y gweinydd gyda'r hyn y gofynnwyd amdano, gan ganiatáu i'r gweinydd ysgrifennu ffeiliau na ofynnwyd amdanynt yn wreiddiol gan y cleient. Er enghraifft, os yw defnyddiwr yn copïo ffeiliau i'r cyfeiriadur cartref, gall y gweinydd ddychwelyd ffeiliau o'r enw .bash_aliases neu .ssh/authorized_keys yn lle'r ffeiliau y gofynnwyd amdanynt, a byddant yn cael eu storio yng nghyfeirlyfr cartref y defnyddiwr.
Ffynhonnell: opennet.ru