我们希望提醒大家关注 rsync 安全版本 3.4.0-1，详情请参阅我们的公告 ASA-202501-1。

攻击者只需对存在漏洞的 rsync 服务器（例如公共镜像源）拥有匿名读取权限，即可在运行该服务器的机器上执行任意代码。此外，攻击者可以控制受影响的服务器，并读取/写入任何已连接客户端的任意文件。敏感数据（如 OpenPGP 和 SSH 密钥）可能会被窃取，攻击者还可以通过覆盖 ~/.bashrc 或 ~/.popt 等文件来执行恶意代码。

我们强烈建议所有运行 3.4.0-1 版本之前 rsync 守护进程或客户端的用户立即升级并重启系统。由于 Arch Linux 镜像大多使用 rsync 进行同步，我们强烈建议所有镜像管理员立即采取行动，尽管托管的软件包文件本身具有加密签名。

由 Arch Linux 维护的所有基础设施服务器和镜像源均已完成更新。