rsyncలో ఒక దుర్బలత్వం (CVE-2022-29154) గుర్తించబడింది, ఇది ఫైల్ సింక్రొనైజేషన్ మరియు బ్యాకప్ కోసం యుటిలిటీ, ఇది దాడి చేసేవారిచే నియంత్రించబడే rsync సర్వర్ని యాక్సెస్ చేస్తున్నప్పుడు టార్గెట్ డైరెక్టరీలోని ఏకపక్ష ఫైల్లను వినియోగదారు వైపు వ్రాయడానికి లేదా భర్తీ చేయడానికి అనుమతిస్తుంది. సంభావ్యంగా, క్లయింట్ మరియు చట్టబద్ధమైన సర్వర్ మధ్య రవాణా ట్రాఫిక్తో జోక్యం (MITM) ఫలితంగా కూడా దాడి చేయవచ్చు. సమస్య Rsync 3.2.5pre1 పరీక్ష విడుదలలో పరిష్కరించబడింది.
ఈ లోపం SCPలోని మునుపటి సమస్యలను గుర్తుచేస్తుంది మరియు ఇది కూడా, వ్రాయబడుతున్న ఫైల్ యొక్క స్థానం గురించి సర్వర్ నిర్ణయాలు తీసుకోవడం వల్ల, మరియు అభ్యర్థించిన దానితో సర్వర్ తిరిగి పంపిన దానిని క్లయింట్ సరిగ్గా ధృవీకరించకపోవడం వల్ల సంభవిస్తుంది. సర్వర్ క్లయింట్ మొదటగా అభ్యర్థించని ఫైళ్లను రాయడం. ఉదాహరణకు, వినియోగదారుడు ఫైళ్లను హోమ్ డైరెక్టరీకి కాపీ చేస్తే, సర్వర్ అభ్యర్థించిన ఫైళ్ళకు బదులుగా .bash_aliases లేదా .ssh/authorized_keys అనే పేరు గల ఫైళ్ళను తిరిగి ఇవ్వవచ్చు, మరియు అవి వినియోగదారుడి హోమ్ డైరెక్టరీలో సేవ్ చేయబడతాయి.
మూలం: opennet.ru
