PT-2022-4620 · Rsync+11 · Rsync+11
Ege Balci
+1
·
Publicado
2022-08-02
·
Atualizado
2025-09-29
·
CVE-2022-29154
CVSS v2.0
7.6
Alta
| Vetor | AV:N/AC:H/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do rsync anteriores à 3.2.5
Descrição
Uma falha no rsync permite que servidores remotos maliciosos gravem arquivos arbitrários dentro dos diretórios dos pares conectados. O servidor escolhe quais arquivos/diretórios são enviados ao cliente. No entanto, o cliente rsync realiza uma validação insuficiente dos nomes dos arquivos. Um servidor rsync malicioso (ou um invasor do tipo Man-in-The-Middle) pode sobrescrever arquivos arbitrários no diretório de destino do cliente rsync e em seus subdiretórios, por exemplo, sobrescrever o arquivo .ssh/authorized keys.
Recomendações
Para versões anteriores à 3.2.5, atualize para a versão 3.2.5 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao diretório de destino do cliente rsync e aos subdiretórios para minimizar o risco de exploração. Evite usar o cliente rsync com servidores não confiáveis até que a vulnerabilidade seja resolvida.
Exploit
Correção
RCE
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Rsync