Ib qho tsis zoo (CVE-2022-29154) tau raug txheeb xyuas hauv rsync, qhov khoom siv rau cov ntaub ntawv synchronization thiab thaub qab, uas tso cai rau cov ntaub ntawv tsis raug cai hauv cov hom phiaj sau ntawv lossis sau dua ntawm tus neeg siv sab thaum nkag mus rau rsync server tswj los ntawm tus neeg tawm tsam. Muaj peev xwm, qhov kev tawm tsam tuaj yeem ua tiav los ntawm kev cuam tshuam (MITM) nrog kev thauj mus los ntawm cov neeg siv khoom thiab cov neeg rau zaub mov raug cai. Qhov teeb meem yog kho nyob rau hauv Rsync 3.2.5pre1 xeem tso tawm.
Qhov tsis muaj zog no zoo li cov teeb meem yav dhau los hauv SCP thiab kuj yog los ntawm lub server txiav txim siab txog qhov chaw ntawm cov ntaub ntawv uas tau sau, thiab tus neeg siv khoom tsis txheeb xyuas qhov tseeb uas lub server xa rov qab nrog qhov tau thov, tso cai rau neeg rau zaub mov записать файлы, изначально не запрошенные клиентом. Например, в случае копирования пользователем файлов в домашний каталог, neeg rau zaub mov может выдать вместо запрошенных файлов файлы с именами .bash_aliases или .ssh/authorized_keys, и они будут сохранены в домашнем каталоге пользователя.
Tau qhov twg los: opennet.ru
