Дар rsync як осебпазирӣ (CVE-2022-29154) муайян шудааст, ки як утилитаи ҳамоҳангсозии файлҳо ва нусхабардории файлҳо мебошад, ки имкон медиҳад, ки файлҳои худсарона дар директорияи мақсаднок ҳангоми дастрасӣ ба сервери rsync, ки аз ҷониби ҳамлакунанда идора карда мешавад, дар тарафи корбар навишта ё аз нав навишта шаванд. Эҳтимол, ҳамла инчунин метавонад дар натиҷаи дахолат (MITM) ба трафики транзитӣ байни муштарӣ ва сервери қонунӣ анҷом дода шавад. Масъала дар версияи санҷишии Rsync 3.2.5pre1 ҳал карда шудааст.
Осебӣ масъалаҳои гузаштаи SCP-ро ба хотир меорад ва инчунин аз он сабаб мешавад, ки сервер дар бораи ҷойгиршавии файли навиштан қарор қабул кунад ва муштарӣ он чизеро, ки сервер бо он чизе, ки дархост карда шудааст, дуруст тафтиш намекунад ва ба сервер имкон медиҳад, ки файлҳоеро нависед, ки аз ҷониби муштарӣ дархост нашудааст. Масалан, агар корбар файлҳоро ба феҳристи хонагӣ нусхабардорӣ кунад, сервер метавонад ба ҷои файлҳои дархостшуда файлҳои бо номи .bash_aliases ё .ssh/authorized_keys баргардонад ва онҳо дар директорияи хонагии корбар нигоҳ дошта мешаванд.
Манбаъ: opennet.ru