Varnarleysi (CVE-2022-29154) hefur fundist í rsync, tóli fyrir skráarsamstillingu og öryggisafrit, sem gerir kleift að skrifa eða skrifa yfir handahófskenndar skrár í markskránni á hlið notandans þegar aðgangur er að rsync netþjóni sem stjórnað er af árásarmanni. Hugsanlega getur árásin einnig verið framkvæmd vegna truflana (MITM) á flutningsumferð milli viðskiptavinarins og lögmæts netþjóns. Málið er lagað í Rsync 3.2.5pre1 prófunarútgáfunni.
Varnarleysið minnir á fyrri vandamál í SCP og stafar einnig af því að þjónninn tekur ákvörðun um staðsetningu skráarinnar sem á að skrifa og viðskiptavinurinn athugar ekki almennilega hvað er skilað af þjóninum með því sem beðið var um, sem gerir þjóninum kleift að skrifa skrár sem viðskiptavinurinn hefur ekki beðið um. Til dæmis, ef notandi afritar skrár í heimamöppuna getur þjónninn skilað skrám sem heita .bash_aliases eða .ssh/authorized_keys í stað umbeðinna skráa og þær verða geymdar í heimamöppu notandans.
Heimild: opennet.ru