Natukoy ang isang kahinaan (CVE-2022-29154) sa rsync, isang utility para sa pag-synchronize at pag-backup ng file, na nagbibigay-daan sa mga arbitrary na file sa target na direktoryo na maisulat o ma-overwrite sa gilid ng user kapag ina-access ang isang rsync server na kinokontrol ng isang attacker. Posible, ang pag-atake ay maaari ding isagawa bilang resulta ng interference (MITM) sa trapiko ng transit sa pagitan ng kliyente at ng lehitimong server. Ang isyu ay naayos sa Rsync 3.2.5pre1 test release.
Ang kahinaan ay nakapagpapaalaala sa mga nakaraang isyu sa SCP at sanhi din ng pagpapasya ng server tungkol sa lokasyon ng file na isusulat, at hindi maayos na sinusuri ng kliyente kung ano ang ibinalik ng server sa kung ano ang hiniling, na nagpapahintulot sa server na magsulat ng mga file na hindi orihinal na hiniling ng kliyente. Halimbawa, kung kinokopya ng user ang mga file sa home directory, maaaring ibalik ng server ang mga file na pinangalanang .bash_aliases o .ssh/authorized_keys sa halip na ang mga hiniling na file, at maiimbak ang mga ito sa home directory ng user.
Pinagmulan: opennet.ru