Kerentanan (CVE-2022-29154) parantos diidentifikasi dina rsync, utilitas pikeun sinkronisasi sareng cadangan file, anu ngamungkinkeun file sawenang-wenang dina diréktori target ditulis atanapi ditindih di sisi pangguna nalika ngaksés server rsync anu dikontrol ku panyerang. Berpotensi, serangan éta ogé tiasa dilaksanakeun salaku hasil tina gangguan (MITM) sareng lalu lintas transit antara klien sareng server anu sah. Masalahna dibereskeun dina sékrési tés Rsync 3.2.5pre1.
Kerentanan kasebut ngingetkeun masalah anu kapungkur dina SCP sareng ogé disababkeun ku server anu nyandak kaputusan ngeunaan lokasi file anu bakal ditulis, sareng klien henteu leres-leres mariksa naon anu dipulangkeun ku server kalayan naon anu dipénta, ngamungkinkeun server na nyerat file anu henteu dipénta ku klien. Contona, upami hiji pamaké nyalin file ka diréktori imah, server bisa balik file ngaranna .bash_aliases atawa .ssh/authorized_keys tinimbang file dipénta, sarta aranjeunna bakal disimpen dina diréktori imah pamaké.
sumber: opennet.ru