In kwetsberens (CVE-2022-29154) is identifisearre yn rsync, in helpmiddel foar bestânsyngronisaasje en reservekopy, wêrtroch willekeurige bestannen yn 'e doelmap kinne wurde skreaun of oerskreaun oan 'e kant fan 'e brûker by tagong ta in rsync-tsjinner kontrolearre troch in oanfaller. Potinsjeel kin de oanfal ek útfierd wurde as gefolch fan ynterferinsje (MITM) mei transitferkear tusken de kliïnt en de legitime server. It probleem is fêst yn 'e Rsync 3.2.5pre1 testrelease.
De kwetsberens docht tinken oan eardere problemen yn SCP en wurdt ek feroarsake troch de tsjinner dy't in beslút nimt oer de lokaasje fan it te skriuwen bestân, en de kliïnt net goed kontrolearret wat troch de tsjinner weromjûn wurdt mei wat frege is, wêrtroch de tsjinner kin skriuw bestannen net oarspronklik oanfrege troch de klant. Bygelyks, as in brûker bestannen kopiearret nei de thúsmap, kin de tsjinner bestannen weromjaan mei de namme .bash_aliases of .ssh/authorized_keys ynstee fan de frege bestannen, en se wurde opslein yn 'e thúsmap fan de brûker.
Boarne: opennet.ru