rsync ನಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-29154) ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ಫೈಲ್ ಸಿಂಕ್ರೊನೈಸೇಶನ್ ಮತ್ತು ಬ್ಯಾಕ್ಅಪ್ಗೆ ಉಪಯುಕ್ತವಾಗಿದೆ, ಇದು ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ rsync ಸರ್ವರ್ ಅನ್ನು ಪ್ರವೇಶಿಸುವಾಗ ಗುರಿಯ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿರುವ ಅನಿಯಂತ್ರಿತ ಫೈಲ್ಗಳನ್ನು ಬಳಕೆದಾರರ ಬದಿಯಲ್ಲಿ ಬರೆಯಲು ಅಥವಾ ತಿದ್ದಿ ಬರೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ಸಂಭಾವ್ಯವಾಗಿ, ಕ್ಲೈಂಟ್ ಮತ್ತು ಕಾನೂನುಬದ್ಧ ಸರ್ವರ್ ನಡುವಿನ ಸಾರಿಗೆ ದಟ್ಟಣೆಯೊಂದಿಗೆ ಹಸ್ತಕ್ಷೇಪದ (MITM) ಪರಿಣಾಮವಾಗಿ ದಾಳಿಯನ್ನು ಸಹ ನಡೆಸಬಹುದು. ಸಮಸ್ಯೆಯನ್ನು Rsync 3.2.5pre1 ಪರೀಕ್ಷಾ ಬಿಡುಗಡೆಯಲ್ಲಿ ಪರಿಹರಿಸಲಾಗಿದೆ.
ದುರ್ಬಲತೆಯು SCP ಯಲ್ಲಿನ ಹಿಂದಿನ ಸಮಸ್ಯೆಗಳನ್ನು ನೆನಪಿಸುತ್ತದೆ ಮತ್ತು ಬರೆಯಬೇಕಾದ ಫೈಲ್ನ ಸ್ಥಳದ ಕುರಿತು ಸರ್ವರ್ ನಿರ್ಧಾರ ತೆಗೆದುಕೊಳ್ಳುವುದರಿಂದ ಉಂಟಾಗುತ್ತದೆ ಮತ್ತು ಕ್ಲೈಂಟ್ ವಿನಂತಿಸಿದ ಜೊತೆಗೆ ಸರ್ವರ್ನಿಂದ ಹಿಂತಿರುಗಿಸಲ್ಪಟ್ಟದ್ದನ್ನು ಸರಿಯಾಗಿ ಪರಿಶೀಲಿಸದೆ ಸರ್ವರ್ಗೆ ಅನುಮತಿಸುತ್ತದೆ ಕ್ಲೈಂಟ್ನಿಂದ ಮೂಲತಃ ವಿನಂತಿಸದ ಫೈಲ್ಗಳನ್ನು ಬರೆಯಿರಿ. ಉದಾಹರಣೆಗೆ, ಬಳಕೆದಾರರು ಹೋಮ್ ಡೈರೆಕ್ಟರಿಗೆ ಫೈಲ್ಗಳನ್ನು ನಕಲಿಸಿದರೆ, ಸರ್ವರ್ ವಿನಂತಿಸಿದ ಫೈಲ್ಗಳ ಬದಲಿಗೆ .bash_aliases ಅಥವಾ .ssh/authorized_keys ಹೆಸರಿನ ಫೈಲ್ಗಳನ್ನು ಹಿಂತಿರುಗಿಸಬಹುದು ಮತ್ತು ಅವುಗಳನ್ನು ಬಳಕೆದಾರರ ಹೋಮ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ.
ಮೂಲ: opennet.ru