我们想提高大家对 rsync 安全更新版本 3.4.0-1 的认识,具体信息请参阅我们的公告 ASA-202501-1。
攻击者只需对易受攻击的 rsync 服务器(例如公共镜像)拥有匿名读取权限,即可在该服务器运行的机器上执行任意代码。此外,攻击者还可以控制受影响的服务器,并读取/写入任何连接客户端的任意文件。敏感数据(如 OpenPGP 和 SSH 密钥)可能会被提取,恶意代码可以通过覆盖 ~/.bashrc 或 ~/.popt 等文件来执行。
我们强烈建议所有运行 rsync 守护进程或客户端但版本低于 3.4.0-1 的用户立即升级并重启其系统。由于 Arch Linux 镜像大多使用 rsync 同步,我们强烈建议所有镜像管理员立即采取行动,即使托管的软件包文件本身是经过加密签名的。
Arch Linux 维护的所有基础设施服务器和镜像已更新。