rsync ۾ هڪ ڪمزوري (CVE-2022-29154) جي سڃاڻپ ڪئي وئي آهي، فائل سنڪرونائيزيشن ۽ بيڪ اپ لاءِ هڪ يوٽيلٽي، جيڪا ٽارگيٽ ڊاريڪٽري ۾ صوابديدي فائلن کي اجازت ڏئي ٿي ته صارف جي پاسي کان لکجي يا اوور رائٽ ٿي وڃي جڏهن هڪ حملي آور جي ڪنٽرول ڪيل rsync سرور تائين رسائي حاصل ڪري. امڪاني طور تي، حملو پڻ ٿي سگهي ٿو مداخلت جي نتيجي ۾ (MITM) ڪلائنٽ ۽ جائز سرور جي وچ ۾ ٽرانسپورٽ ٽرئفڪ سان. مسئلو حل ڪيو ويو آهي Rsync 3.2.5pre1 ٽيسٽ رليز ۾.
نقصان ايس سي پي ۾ ماضي جي مسئلن جي ياد ڏياريندو آهي ۽ اهو پڻ سرور جي طرفان فائل جي جڳهه جي باري ۾ فيصلو ڪرڻ جو سبب آهي، ۽ ڪلائنٽ صحيح طور تي جانچ نه ڪري رهيو آهي ته سرور طرفان ڇا واپس ڪيو ويو آهي جيڪو درخواست ڪئي وئي آهي، سرور کي اجازت ڏيڻ جي اجازت ڏئي ٿي. فائلون لکو جيڪي اصل ۾ ڪلائنٽ طرفان درخواست نه ڪئي وئي. مثال طور، جيڪڏهن ڪو صارف فائلن کي هوم ڊاريڪٽريءَ ۾ نقل ڪري ٿو، ته سرور گهربل فائلن جي بدران .bash_aliases يا .ssh/authorized_keys نالي فائلون واپس ڪري سگهي ٿو، ۽ اهي صارف جي گهر ڊاريڪٽري ۾ محفوظ ڪيون وينديون.
جو ذريعو: opennet.ru