An gano wani rauni (CVE-2022-29154) a cikin rsync, mai amfani don aiki tare da fayil da madadin, wanda ke ba da damar fayilolin sabani a cikin kundin adireshin da aka rubuta ko a sake rubuta su a gefen mai amfani lokacin samun damar uwar garken rsync wanda maharin ke sarrafawa. Mai yuwuwa, ana kuma iya kai harin sakamakon tsangwama (MITM) tare da zirga-zirgar ababen hawa tsakanin abokin ciniki da sabar sabar. An daidaita batun a cikin sakin gwajin Rsync 3.2.5pre1.
Rashin lahani yana tunawa da batutuwan da suka gabata a cikin SCP kuma yana haifar da sabar ta yanke shawara game da wurin da za a rubuta fayil ɗin, kuma abokin ciniki bai bincika daidai abin da uwar garken ya dawo da abin da aka nema ba, yana ba da damar uwar garken. rubuta fayiloli ba asali da abokin ciniki ya nema ba. Misali, idan mai amfani ya kwafi fayiloli zuwa kundin adireshin gida, uwar garken na iya dawo da fayiloli masu suna .bash_aliases ko .ssh/authorized_keys maimakon fayilolin da aka nema, kuma za a adana su a cikin kundin adireshin gida na mai amfani.
source: budenet.ru