Zelaliyek (CVE-2022-29154) di rsync de hate nas kirin, amûrek ji bo hevdengkirina pelan û hilanînê, ku dihêle pelên kêfî yên di pelrêça armanc de dema ku xwe bigihînin serverek rsync ku ji hêla êrîşkar ve tê kontrol kirin li ser milê bikarhêner bêne nivîsandin an binivîsin. Bi potansiyel, êrîş di heman demê de dikare wekî encama destwerdana (MITM) bi seyrûsefera derbasbûnê ya di navbera xerîdar û servera rewa de jî were kirin. Pirsgirêk di serbestberdana testa Rsync 3.2.5pre1 de hatî rast kirin.
Ev lawazî pirsgirêkên berê yên SCP tîne bîra mirov û her wiha ji ber ku server biryarên li ser cihê pelê ku tê nivîsandin dide, û xerîdar bi rêkûpêk verast nake ka server bi tiştê ku hatiye xwestin vedigerîne, ku dihêle server pelên ku di destpêkê de ji hêla xerîdar ve nehatine xwestin binivîsin. Mînakî, heke bikarhêner pelan li navnîşana malê kopî bike, server dibe ku pelên bi navê .bash_aliases an .ssh/authorized_keys li şûna pelên daxwazkirî vegerîne, û ew ê di peldanka malê ya bikarhêner de werin tomarkirin.
Source: opennet.ru
