Eng Schwachstelle (CVE-2022-29154) gouf am rsync identifizéiert, en Utility fir Dateisynchroniséierung a Backup, déi et erlaabt datt arbiträr Dateien am Zilverzeichnis op der Säit vum Benotzer geschriwwe ginn oder iwwerschriwwe ginn wann en Zougang zu engem rsync-Server kritt, deen vun engem Ugräifer kontrolléiert gëtt. Potenziell kann d'Attack och duerch Interferenz (MITM) mam Transitverkéier tëscht dem Client an dem legitimen Server duerchgefouert ginn. De Problem ass an der Rsync 3.2.5pre1 Testrelease fixéiert.
D'Vulnerabilitéit erënnert u fréier Themen am SCP a gëtt och verursaacht duerch de Server eng Entscheedung iwwer d'Location vun der Datei ze schreiwen, déi geschriwwe gëtt, an de Client net richteg iwwerpréift wat vum Server zréckgeet mat deem wat gefrot gouf, wat dem Server erlaabt schreiwen Dateien net ursprénglech vum Client gefrot. Zum Beispill, wann e Benotzer Dateien an den Heemverzeichnis kopéiert, kann de Server Dateien mam Numm .bash_aliases oder .ssh/authorized_keys amplaz vun den ugefrote Dateien zréckginn, a si ginn am Heemverzeichnis vum Benotzer gespäichert.
Source: opennet.ru