Ahultasun bat (CVE-2022-29154) identifikatu da rsync-en, fitxategiak sinkronizatzeko eta babeskopiak egiteko utilitate batean, erasotzaile batek kontrolatutako rsync zerbitzari batean sartzean helburuko direktorioko fitxategi arbitrarioak idatzi edo gainidatzi ahal izateko aukera ematen duena. Potentzialki, erasoa bezeroaren eta legezko zerbitzariaren arteko interferentziaren (MITM) ondorioz ere egin daiteke. Arazoa Rsync 3.2.5pre1 probaren bertsioan konpondu da.
Ahultasunak SCPren iraganeko arazoak gogorarazten ditu eta zerbitzariak idatzi nahi den fitxategiaren kokapenari buruzko erabakia hartzen duelako eta bezeroak ez duela behar bezala egiaztatzen zerbitzariak itzultzen duenarekin eskatutakoarekin, zerbitzariari aukera ematen dio. idatzi bezeroak hasieran eskatu gabeko fitxategiak. Adibidez, erabiltzaile batek fitxategiak kopiatzen baditu etxeko direktoriora, zerbitzariak eskatutako fitxategien ordez .bash_aliases edo .ssh/authorized_keys izeneko fitxategiak itzul ditzake, eta erabiltzailearen hasierako direktorioan gordeko dira.
Iturria: opennet.ru