Aptiktas rsync pažeidžiamumas (CVE-2022-29154), failų sinchronizavimo ir atsarginių kopijų kūrimo įrankis, leidžiantis įrašyti arba perrašyti vartotojo pusėje esančius savavališkus failus tiksliniame kataloge, kai pasiekiate rsync serverį, valdomą užpuoliko. Potencialiai ataka taip pat gali būti įvykdyta dėl trukdžių (MITM) tranzito srautui tarp kliento ir teisėto serverio. Problema išspręsta Rsync 3.2.5pre1 bandomojoje versijoje.
Pažeidžiamumas primena ankstesnes SCP problemas ir atsiranda dėl to, kad serveris priima sprendimą dėl failo, kurį reikia įrašyti, vietos, o klientas netinkamai netikrina, ką serveris grąžina su tuo, ko buvo prašoma, todėl serveris gali rašyti failus, kurių klientas iš pradžių neprašė. Pavyzdžiui, jei vartotojas kopijuoja failus į pagrindinį katalogą, serveris gali grąžinti failus, pavadintus .bash_aliases arba .ssh/authorized_keys, o ne prašomus failus, ir jie bus saugomi vartotojo namų kataloge.
Šaltinis: opennet.ru