Идентификувана е ранливост (CVE-2022-29154) во rsync, алатка за синхронизација и резервна копија на датотеки, која овозможува произволните датотеки во целниот директориум да бидат запишани или препишани на страната на корисникот кога се пристапува до rsync сервер контролиран од напаѓач. Потенцијално, нападот може да се изврши и како резултат на пречки (MITM) со транзитниот сообраќај помеѓу клиентот и легитимниот сервер. Проблемот е поправен во тест изданието Rsync 3.2.5pre1.
Ранливоста потсетува на минатите проблеми во SCP и исто така е предизвикана од тоа што серверот донесува одлука за локацијата на датотеката што треба да се запише, а клиентот не проверува правилно што е вратено од серверот со она што е побарано, дозволувајќи му на серверот да пишувајте датотеки што првично не биле побарани од клиентот. На пример, ако корисникот ги копира датотеките во домашниот директориум, серверот може да врати датотеки со име .bash_aliases или .ssh/authorized_keys наместо бараните датотеки и тие ќе бидат зачувани во домашниот директориум на корисникот.
Извор: opennet.ru