တိုက်ခိုက်သူမှ ထိန်းချုပ်ထားသော rsync ဆာဗာကို ဝင်ရောက်သည့်အခါ အသုံးပြုသူဘက်မှ ထိန်းချုပ်ထားသော rsync ဆာဗာကို ဝင်ရောက်သည့်အခါတွင် ထင်သလိုမဟုတ်သော ဖိုင်များကို ပစ်မှတ်လမ်းညွှန်ရှိ မထင်သလို ဖိုင်များကို ရေးသားရန် သို့မဟုတ် အစားထိုးရေးခွင့်ပြုသည့် အားနည်းချက်တစ်ခု (CVE-2022-29154) ကို rsync တွင် ဖော်ထုတ်ထားသည်။ ဖြစ်နိုင်ချေအားဖြင့်၊ ဖောက်သည်နှင့်တရားဝင်ဆာဗာအကြား ဖြတ်သန်းသွားလာမှု (MITM) နှောင့်ယှက်မှုကြောင့် တိုက်ခိုက်မှုကိုလည်း လုပ်ဆောင်နိုင်သည်။ ပြဿနာကို Rsync 3.2.5pre1 စမ်းသပ်ထုတ်ဝေမှုတွင် ဖြေရှင်းထားသည်။
အားနည်းချက်သည် SCP ရှိ ယခင်ပြဿနာများကို အမှတ်ရစေကာ ဆာဗာမှ ရေးသားရမည့် ဖိုင်တည်နေရာနှင့် ပတ်သက်၍ ဆုံးဖြတ်ချက်ချခြင်းကြောင့် ဖြစ်သည့်အပြင် client သည် တောင်းဆိုထားသည့်အရာကို ဆာဗာမှ ပြန်ပေးသည့်အရာကို ကောင်းစွာစစ်ဆေးခြင်းမရှိသည့်အတွက် ဆာဗာအား ခွင့်ပြုပေးခြင်း၊ Client မှ မူလတောင်းဆိုထားခြင်းမရှိသော ဖိုင်များကိုရေးပါ။ ဥပမာအားဖြင့်၊ အသုံးပြုသူတစ်ဦးသည် ဖိုင်များကို မူလလမ်းညွှန်သို့ကူးယူပါက၊ ဆာဗာသည် တောင်းဆိုထားသောဖိုင်များအစား .bash_aliases သို့မဟုတ် .ssh/authorized_keys အမည်ရှိဖိုင်များကို ပြန်လည်ပေးပို့နိုင်ပြီး ၎င်းတို့ကို အသုံးပြုသူ၏ပင်မလမ်းညွှန်တွင် သိမ်းဆည်းထားမည်ဖြစ်သည်။
source: opennet.ru