Failu sinhronizācijas un dublēšanas utilītprogrammā rsync ir konstatēta ievainojamība (CVE-2022-29154), kas ļauj lietotāja pusē rakstīt vai pārrakstīt patvaļīgus failus mērķa direktorijā, piekļūstot rsync serverim, kuru kontrolē uzbrucējs. Potenciāli uzbrukumu var veikt arī traucējumu (MITM) rezultātā tranzīta trafikā starp klientu un likumīgo serveri. Problēma ir novērsta Rsync 3.2.5pre1 testa laidienā.
Ievainojamība atgādina pagātnes SCP problēmas, un to izraisa arī tas, ka serveris pieņem lēmumu par rakstāmā faila atrašanās vietu, un klients pareizi nepārbauda, ko serveris atgriež ar pieprasīto, ļaujot serverim rakstīt failus, kurus klients sākotnēji nav pieprasījis. Piemēram, ja lietotājs kopē failus mājas direktorijā, serveris var atgriezt failus ar nosaukumu .bash_aliases vai .ssh/authorized_keys, nevis pieprasītos failus, un tie tiks saglabāti lietotāja mājas direktorijā.
Avots: opennet.ru