Халдагчийн удирддаг rsync серверт хандах үед зорилтот директор доторх дурын файлуудыг хэрэглэгчийн талд бичих эсвэл дарж бичих боломжийг олгодог файлын синхрончлол болон нөөцлөх хэрэгсэл болох rsync-д (CVE-2022-29154) эмзэг байдал илэрсэн. Үйлчлүүлэгч болон хууль ёсны серверийн хооронд дамжин өнгөрөх урсгалд хөндлөнгөөс оролцох (MITM) нь халдлага үйлдэж болзошгүй юм. Энэ асуудлыг Rsync 3.2.5pre1 туршилтын хувилбараар зассан.
Энэ эмзэг байдал нь SCP-ийн өмнөх асуудлуудыг санагдуулам бөгөөд сервер бичих файлын байршлын талаар шийдвэр гаргах, үйлчлүүлэгч хүссэн зүйлийнхээ дагуу серверээс буцаж ирсэн зүйлийг зөв шалгаагүйгээс серверт Үйлчлүүлэгчийн анх хүсэлт гаргаагүй файлуудыг бичих. Жишээлбэл, хэрэв хэрэглэгч файлуудыг гэрийн директор руу хуулж авбал сервер хүссэн файлуудын оронд .bash_aliases эсвэл .ssh/authorized_keys нэртэй файлуудыг үүсгэж болох бөгөөд тэдгээр нь хэрэглэгчийн гэрийн директорт хадгалагдах болно.
Эх сурвалж: opennet.ru