Yo te idantifye yon vilnerabilite (CVE-2022-29154) nan rsync, yon sèvis piblik pou senkronizasyon fichye ak backup, ki pèmèt dosye abitrè nan anyè sib la ekri oswa ranplase sou bò itilizatè a lè w ap jwenn aksè nan yon sèvè rsync kontwole pa yon atakè. Potansyèlman, atak la ka fèt tou kòm yon rezilta nan entèferans (MITM) ak trafik transpò piblik ant kliyan an ak sèvè lejitim la. Pwoblèm nan fiks nan lage tès Rsync 3.2.5pre1 la.
Vilnerabilite a raple pwoblèm ki sot pase yo nan SCP epi li lakòz tou lè sèvè a pran yon desizyon sou kote fichye a dwe ekri, epi kliyan an pa byen tcheke sa sèvè a retounen ak sa ki te mande a, sa ki pèmèt sèvè a. ekri fichye yo pa te mande orijinal la pa kliyan an. Pa egzanp, si yon itilizatè kopye fichye yo nan anyè kay la, sèvè a ka retounen fichye ki rele .bash_aliases oswa .ssh/authorized_keys olye de fichye yo mande yo, epi yo pral estoke nan anyè lakay itilizatè a.
Sous: opennet.ru