Kerentanan (CVE-2022-29154) parantos diidentifikasi dina rsync, utilitas pikeun sinkronisasi sareng cadangan file, anu ngamungkinkeun file sawenang-wenang dina diréktori target ditulis atanapi ditindih di sisi pangguna nalika ngaksés server rsync anu dikontrol ku panyerang. Berpotensi, serangan éta ogé tiasa dilaksanakeun salaku hasil tina gangguan (MITM) sareng lalu lintas transit antara klien sareng server anu sah. Masalahna dibereskeun dina sékrési tés Rsync 3.2.5pre1.
Karentanan ieu ngingetkeun kana masalah SCP sateuacanna sareng ogé disababkeun ku server anu nyandak kaputusan ngeunaan lokasi file anu ditulis, sareng klien henteu leres-leres mastikeun naon anu dipulangkeun ku server sareng naon anu dipénta, anu ngamungkinkeun palayan nulis file anu mimitina teu dipénta ku klien. Contona, upami pangguna nyalin file ka diréktori utama, sérver bisa jadi mulangkeun file anu dingaranan .bash_aliases atawa .ssh/authorized_keys tinimbang file anu dipénta, sarta éta file bakal disimpen dina diréktori utama pamaké.
sumber: opennet.ru
