Misy vulnerability (CVE-2022-29154) hita ao amin'ny rsync, fitaovana ho an'ny fampifanarahana sy ny backup rakitra, izay mamela ny rakitra tsy misy dikany ao amin'ny lahatahiry kendrena ho soratana na hosoratana eo amin'ny sisin'ny mpampiasa rehefa miditra amin'ny mpizara rsync fehezin'ny mpanafika. Ny mety hitranga dia azo atao ihany koa ny fanafihana vokatry ny fitsabahana (MITM) amin'ny fifamoivoizan'ny fifamoivoizana eo amin'ny mpanjifa sy ny mpizara ara-dalàna. Ny olana dia raikitra amin'ny famoahana fitsapana Rsync 3.2.5pre1.
Ny vulnerability dia mampahatsiahy ny olana taloha tao amin'ny SCP ary vokatry ny fanapaha-kevitry ny mpizara momba ny toerana misy ny rakitra hosoratana, ary ny mpanjifa tsy manamarina tsara izay naverin'ny mpizara miaraka amin'izay nangatahana, mamela ny mpizara hanao manoratra rakitra tsy nangatahan'ny mpanjifa tany am-boalohany. Ohatra, raha misy mpampiasa mandika rakitra ao amin'ny lahatahiry an-trano, ny mpizara dia mety hamerina ny rakitra antsoina hoe .bash_aliases na .ssh/authorized_keys fa tsy ny rakitra nangatahana, ary hotehirizina ao amin'ny lahatahiry an-tranon'ilay mpampiasa.
Source: opennet.ru