یو زیانمنتیا (CVE-2022-29154) په rsync کې پیژندل شوی، د فایل ترکیب او بیک اپ لپاره یو کارتیا، چې د هدف لارښود کې خپل سري فایلونو ته اجازه ورکوي چې د کارونکي په اړخ کې لیکل یا بیا لیکل شي کله چې د برید کونکي لخوا کنټرول شوي rsync سرور ته لاسرسی ومومي. په احتمالي توګه، برید د مراجعینو او مشروع سرور ترمنځ د لیږد ټرافيکي سره د مداخلې (MITM) په پایله کې هم ترسره کیدی شي. مسله د Rsync 3.2.5pre1 ټیسټ ریلیز کې حل شوې.
زیانمنتیا په SCP کې د تیرو مسلو یادونه کوي او همدارنګه د سرور لخوا د فایل لیکلو ځای په اړه پریکړه کولو له امله رامینځته کیږي ، او پیرودونکي په سمه توګه نه ګوري چې د سرور لخوا د غوښتنې سره څه بیرته راستانه شوي ، سرور ته اجازه ورکوي هغه فایلونه ولیکئ چې په اصل کې د پیرودونکي لخوا نه غوښتل شوي. د مثال په توګه، که چیرې کاروونکي د کور ډایرکټر ته فایلونه کاپي کړي، سرور ممکن د غوښتل شوي فایلونو پرځای د .bash_aliases یا .ssh/authorized_keys په نوم فایلونه بیرته راولي، او دا به د کارونکي کور لارښود کې زیرمه شي.
سرچینه: opennet.ru