<div dir="ltr"><div dir="ltr">On Wed, Aug 17, 2022 at 9:30 AM Mark Esler wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I am curious if CVE-2022-29154 affects rsync 3.2.3 or rrsync 3.2.3 and earlier.</blockquote><div> </div><div>The <a href="https://rsync.samba.org/security.html">security page</a> covers this: it's all versions prior to 3.2.5.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">if old_style_args is set to true then the add_implied_include function promptly returns.<br></blockquote><div><br></div><div>The <a href="https://download.samba.org/pub/rsync/NEWS#3.2.5">NEWS</a> discusses this under PACKAGING: the new verification feature requires the quoted args feature from 3.2.4. Without that change, rsync can't reliably determine what the remote arguments actually are (many people add quotes to old-style args, expect splitting on spaces, variables can be expanded, etc).  Asking to use unprotected remote args therefore implies trusting the sender.  There is some discussion about this in <a href="https://download.samba.org/pub/rsync/rsync.1#opt--trust-sender">the manpage</a>.</div><div><br></div><div>One alternative would be to force --protect-args on by default (there is a configure --with-protected-args option for that) and then base the security bypass on protect_args being 0 instead of old_style_args being non-0.</div><div><br></div><div>..wayne..</div></div></div>