我们希望提高大家对 rsync 安全发布版本 3.4.0-1 的认识,正如我们在公告 ASA-202501-1 中所述。
攻击者只需对存在漏洞的 rsync 服务器(例如公共镜像)进行匿名读取访问,即可在服务器运行的机器上执行任意代码。此外,攻击者可以控制受影响的服务器,并读取/写入任何连接客户端的任意文件。敏感数据可能被提取,例如 OpenPGP 和 SSH 密钥,恶意代码可以通过覆盖文件(如 ~/.bashrc 或 ~/.popt)来执行。
我们强烈建议任何运行版本 3.4.0-1 之前 rsync 守护程序或客户端的人员立即升级并重启他们的系统。由于 Arch Linux 镜像主要使用 rsync 同步,我们强烈建议任何镜像管理员立即采取行动,即使托管的软件包文件本身已进行加密签名。
所有由 Arch Linux 维护的基础设施服务器和镜像均已更新。