W rsync, narzędziu do synchronizacji plików i tworzenia kopii zapasowych, wykryto lukę (CVE-2022-29154), która umożliwia zapisanie lub nadpisanie dowolnych plików w katalogu docelowym po stronie użytkownika podczas uzyskiwania dostępu do serwera rsync kontrolowanego przez osobę atakującą. Potencjalnie atak może zostać przeprowadzony również w wyniku zakłócenia (MITM) ruchu tranzytowego pomiędzy klientem a legalnym serwerem. Problem został rozwiązany w wersji testowej Rsync 3.2.5pre1.
Luka przypomina wcześniejsze problemy w SCP i jest również spowodowana podjęciem przez serwer decyzji o lokalizacji pliku, który ma zostać zapisany, a także niepoprawnym sprawdzeniem przez klienta tego, co serwer zwraca wraz z żądaniem, co pozwala serwerowi na zapisz pliki, których pierwotnie nie żądał klient. Na przykład, jeśli użytkownik skopiuje pliki do katalogu domowego, serwer może zwrócić pliki o nazwach .bash_aliases lub .ssh/authorized_keys zamiast żądanych plików i zostaną one zapisane w katalogu domowym użytkownika.
Źródło: opennet.ru