Уязвимость в Rsync, позволяющая перезаписать файлы на стороне клиента

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
03-Авг-2022 00:56

В rsync, утилите для синхронизации файлов и резервного копирования, выявлена уязвимость (), позволяющая при обращении к rsync-серверу, подконтрольному злоумышленнику, записать или перезаписать произвольные файлы в целевом каталоге на стороне пользователя. Потенциально атака также может быть совершена в результате вмешательства (MITM) в транзитный трафик между клиентом и легитимным сервером. Проблема [url=https://lists.samba.org/archive/rsync-announce/2022/000112.html]устранена в тестовом выпуске Rsync 3.2.5pre1.
Уязвимость напоминает прошлые проблемы в SCP и также вызвана тем, что сервер принимает решение о местоположении записываемого файла, а клиент должным образом не сверяет то, что отдаётся сервером с тем, что было запрошено, что позволяет серверу записать файлы, изначально не запрошенные клиентом. Например, в случае копирования пользователем файлов в домашний каталог, сервер может выдать вместо запрошенных файлов файлы с именами .bash_aliases или .ssh/authorized_keys, и они будут сохранены в домашнем каталоге пользователя.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_rsync
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 10:35
Часовой пояс: UTC + 5