Ġiet identifikata vulnerabbiltà (CVE-2022-29154) f'rsync, utilità għas-sinkronizzazzjoni tal-fajls u l-backup, li tippermetti li fajls arbitrarji fid-direttorju fil-mira jinkitbu jew jinkitbu fuq in-naħa tal-utent meta jaċċessaw server rsync ikkontrollat minn attakkant. Potenzjalment, l-attakk jista 'jseħħ ukoll bħala riżultat ta' interferenza (MITM) mat-traffiku ta 'tranżitu bejn il-klijent u s-server leġittimu. Il-kwistjoni hija ffissata fir-rilaxx tat-test Rsync 3.2.5pre1.
Il-vulnerabbiltà tfakkar fil-kwistjonijiet tal-passat fl-SCP u hija wkoll ikkawżata minn s-server li jieħu deċiżjoni dwar il-post tal-fajl li jrid jinkiteb, u l-klijent ma jiċċekkjax kif suppost dak li jiġi rritornat mis-server ma 'dak li kien mitlub, li jippermetti lis-server tikteb fajls mhux mitluba oriġinarjament mill-klijent. Pereżempju, jekk utent jikkopja fajls fid-direttorju tad-dar, is-server jista 'jirritorna fajls bl-isem .bash_aliases jew .ssh/authorized_keys minflok il-fajls mitluba, u se jinħażnu fid-direttorju tad-dar tal-utent.
Sors: opennet.ru