Athari ya kuathiriwa (CVE-2022-29154) imetambuliwa katika rsync, matumizi ya kusawazisha faili na kuhifadhi nakala, ambayo inaruhusu faili kiholela katika saraka lengwa kuandikwa au kufutwa kwa upande wa mtumiaji wakati wa kufikia seva ya rsync inayodhibitiwa na mshambulizi. Uwezekano, shambulio hilo pia linaweza kutekelezwa kama matokeo ya kuingiliwa (MITM) na trafiki ya usafiri kati ya mteja na seva halali. Tatizo limerekebishwa katika toleo la jaribio la Rsync 3.2.5pre1.
Athari hii inawakumbusha masuala ya awali katika SCP na pia husababishwa na seva kufanya uamuzi kuhusu eneo la faili kuandikwa, na mteja kutoangalia vizuri kile kinachorejeshwa na seva na kile kilichoombwa, na kuruhusu seva kufanya hivyo. andika faili ambazo hazijaombwa na mteja. Kwa mfano, ikiwa mtumiaji anakili faili kwenye saraka ya nyumbani, seva inaweza kurejesha faili zinazoitwa .bash_aliases au .ssh/authorized_keys badala ya faili zilizoombwa, na zitahifadhiwa katika saraka ya nyumbani ya mtumiaji.
Chanzo: opennet.ru