Kerentanan (CVE-2022-29154) wis diidentifikasi ing rsync, sarana kanggo sinkronisasi lan serep file, sing ngidini file sewenang-wenang ing direktori target bisa ditulis utawa ditindih ing sisih pangguna nalika ngakses server rsync sing dikontrol dening panyerang. Potensi, serangan uga bisa ditindakake minangka akibat saka gangguan (MITM) karo lalu lintas transit antarane klien lan server sing sah. Masalah kasebut diatasi ing release test Rsync 3.2.5pre1.
Kerentanan kasebut kaya masalah kepungkur ing SCP lan uga disebabake dening server nggawe keputusan babagan lokasi file sing bakal ditulis, lan klien ora mriksa kanthi bener apa sing bali dening server karo apa sing dijaluk, ngidini server bisa nulis file ora Originally dijaluk dening klien. Contone, yen pangguna nyalin file menyang direktori ngarep, server bisa ngasilake file sing jenenge .bash_aliases utawa .ssh/authorized_keys tinimbang file sing dijaluk, lan bakal disimpen ing direktori ngarep pangguna.
Source: opennet.ru