Rsync version 3.4.2 and prior contain symlink race condition vulnerabilities in path-based system calls including chmod, lchown, utimes, rename, unlink, mkdir, symlink, mknod, link, rmdir, and lstat that allow local attackers to redirect operations to files outside the exported rsync module. Attackers with local filesystem access can exploit the timing window between path resolution and syscall execution by swapping symlinks to apply sender-supplied permissions, ownership, timestamps, or filenames to arbitrary files outside the intended module boundary on rsync daemons configured with 'use chroot = no'.
Rsync versions 3.4.2 and prior contain symlink race condition vulnerabilities allowing local attackers to redirect operations to files outside exported modules. This affects rsync daemons configured without chroot, enabling attackers to modify permissions, ownership, and timestamps of arbitrary files.
تسمح ثغرة تسابق الرموز الرمزية في Rsync للمهاجمين المحليين باستغلال نافذة توقيت بين حل المسار وتنفيذ استدعاء النظام. يمكن للمهاجمين استبدال الرموز الرمزية لتطبيق الأذونات والملكية والطوابع الزمنية على ملفات عشوائية خارج حدود الوحدة المقصودة على خوادم rsync المُعدَّة بدون chroot.
إصدارات Rsync 3.4.2 والإصدارات الأقدم تحتوي على ثغرات تسابق الرموز الرمزية التي تسمح للمهاجمين المحليين بإعادة توجيه العمليات إلى ملفات خارج الوحدات المُصدَّرة. يؤثر هذا على خوادم rsync المُعدَّة بدون chroot.
Upgrade Rsync to version 3.4.3 or later immediately. For systems unable to upgrade, enable 'use chroot = yes' in rsync daemon configuration and restrict local filesystem access to trusted users only. Implement file integrity monitoring and audit logging for rsync operations.
قم بترقية Rsync إلى الإصدار 3.4.3 أو أحدث فوراً. بالنسبة للأنظمة التي لا يمكن ترقيتها، قم بتفعيل 'use chroot = yes' في إعدادات خادم rsync وقيّد الوصول إلى نظام الملفات المحلي للمستخدمين الموثوقين فقط. طبّق مراقبة سلامة الملفات وتسجيل التدقيق لعمليات rsync.