Aithníodh leochaileacht (CVE-2022-29154) i rsync, áirgiúlacht le haghaidh sioncrónaithe comhad agus cúltaca, a cheadaíonn comhaid treallach sa sprioc-eolaire a scríobh nó a fhorscríobh ar thaobh an úsáideora agus rochtain á fháil ar fhreastalaí rsync arna rialú ag ionsaitheoir. D'fhéadfadh go bhféadfaí an t-ionsaí a dhéanamh freisin mar thoradh ar chur isteach (MITM) ar thrácht idirthurais idir an cliant agus an freastalaí dlisteanach. Tá an cheist socraithe i scaoileadh tástála Rsync 3.2.5pre1.
Tá an leochaileacht i gcuimhne ar cheisteanna san am atá caite i SCP agus is cúis leis freisin go ndéanann an freastalaí cinneadh maidir le suíomh an chomhaid atá le scríobh, agus nach ndéanann an cliant seiceáil i gceart ar an méid a sheolann an freastalaí ar ais leis an méid a iarradh, rud a ligeann don fhreastalaí scríobh comhaid nár iarr an cliant ar dtús. Mar shampla, má dhéanann úsáideoir comhaid a chóipeáil chuig an eolaire baile, féadfaidh an freastalaí comhaid darb ainm .bash_aliases nó .ssh/authorized_keys a chur ar ais in ionad na gcomhad a iarrtar, agus déanfar iad a stóráil i eolaire baile an úsáideora.
Foinse: oscailtenet.ru