ഫയൽ സമന്വയത്തിനും ബാക്കപ്പിനുമുള്ള യൂട്ടിലിറ്റിയായ rsync-ൽ ഒരു കേടുപാടുകൾ (CVE-2022-29154) തിരിച്ചറിഞ്ഞു, ഇത് ഒരു ആക്രമണകാരി നിയന്ത്രിക്കുന്ന ഒരു rsync സെർവർ ആക്സസ് ചെയ്യുമ്പോൾ, ടാർഗെറ്റ് ഡയറക്ടറിയിലെ അനിയന്ത്രിതമായ ഫയലുകൾ ഉപയോക്താവിൻ്റെ ഭാഗത്ത് എഴുതാനോ തിരുത്തിയെഴുതാനോ അനുവദിക്കുന്നു. ക്ലയൻ്റിനും നിയമാനുസൃത സെർവറിനും ഇടയിലുള്ള ട്രാൻസിറ്റ് ട്രാഫിക്കിലെ ഇടപെടലിൻ്റെ (MITM) ഫലമായും ആക്രമണം നടത്താൻ സാധ്യതയുണ്ട്. Rsync 3.2.5pre1 ടെസ്റ്റ് റിലീസിൽ പ്രശ്നം പരിഹരിച്ചു.
എസ്സിപിയിലെ മുൻകാല പ്രശ്നങ്ങളെ അനുസ്മരിപ്പിക്കുന്നതാണ് ഈ അപകടസാധ്യത, കൂടാതെ സെർവർ എഴുതേണ്ട ഫയലിൻ്റെ ലൊക്കേഷൻ സംബന്ധിച്ച് സെർവർ തീരുമാനമെടുക്കുന്നതുമാണ് ഇതിന് കാരണമാകുന്നത്, കൂടാതെ സെർവർ അഭ്യർത്ഥിച്ചതെന്താണെന്ന് ക്ലയൻ്റ് ശരിയായി പരിശോധിക്കാത്തതും സെർവറിനെ അനുവദിക്കുന്നു ക്ലയൻ്റ് യഥാർത്ഥത്തിൽ ആവശ്യപ്പെടാത്ത ഫയലുകൾ എഴുതുക. ഉദാഹരണത്തിന്, ഒരു ഉപയോക്താവ് ഹോം ഡയറക്ടറിയിലേക്ക് ഫയലുകൾ പകർത്തുകയാണെങ്കിൽ, അഭ്യർത്ഥിച്ച ഫയലുകൾക്ക് പകരം സെർവർ .bash_aliases അല്ലെങ്കിൽ .ssh/authorized_keys എന്ന പേരിലുള്ള ഫയലുകൾ തിരികെ നൽകിയേക്കാം, അവ ഉപയോക്താവിൻ്റെ ഹോം ഡയറക്ടറിയിൽ സംഭരിക്കപ്പെടും.
അവലംബം: opennet.ru