rsyncలో ఒక దుర్బలత్వం (CVE-2022-29154) గుర్తించబడింది, ఇది ఫైల్ సింక్రొనైజేషన్ మరియు బ్యాకప్ కోసం యుటిలిటీ, ఇది దాడి చేసేవారిచే నియంత్రించబడే rsync సర్వర్ని యాక్సెస్ చేస్తున్నప్పుడు టార్గెట్ డైరెక్టరీలోని ఏకపక్ష ఫైల్లను వినియోగదారు వైపు వ్రాయడానికి లేదా భర్తీ చేయడానికి అనుమతిస్తుంది. సంభావ్యంగా, క్లయింట్ మరియు చట్టబద్ధమైన సర్వర్ మధ్య రవాణా ట్రాఫిక్తో జోక్యం (MITM) ఫలితంగా కూడా దాడి చేయవచ్చు. సమస్య Rsync 3.2.5pre1 పరీక్ష విడుదలలో పరిష్కరించబడింది.
దుర్బలత్వం SCPలోని గత సమస్యలను గుర్తుకు తెస్తుంది మరియు వ్రాయవలసిన ఫైల్ యొక్క స్థానం గురించి సర్వర్ నిర్ణయం తీసుకోవడం మరియు అభ్యర్థించిన దానితో సర్వర్ ద్వారా తిరిగి వచ్చిన వాటిని క్లయింట్ సరిగ్గా తనిఖీ చేయకపోవడం వల్ల కూడా సంభవిస్తుంది. క్లయింట్ వాస్తవానికి అభ్యర్థించని ఫైల్లను వ్రాయండి. ఉదాహరణకు, ఒక వినియోగదారు ఫైల్లను హోమ్ డైరెక్టరీకి కాపీ చేస్తే, సర్వర్ అభ్యర్థించిన ఫైల్లకు బదులుగా .bash_aliases లేదా .ssh/authorized_keys పేరుతో ఫైల్లను తిరిగి పంపవచ్చు మరియు అవి వినియోగదారు హోమ్ డైరెక్టరీలో నిల్వ చేయబడతాయి.
మూలం: opennet.ru