2025-01-16 - Robin Candau
Мы хотели бы повысить осведомленность о выпуске безопасности rsync версии 3.4.0-1 , описанном в нашем информационном бюллетене ASA-202501-1 .
Атакующему требуется только анонимный доступ на чтение к уязвимому серверу rsync, например, к публичному зеркалу, чтобы выполнить произвольный код на машине, на которой запущен сервер. Кроме того, злоумышленники могут взять под контроль уязвимый сервер и читать/писать произвольные файлы любого подключенного клиента. Могут быть извлечены конфиденциальные данные, такие как ключи OpenPGP и SSH, а вредоносный код может быть выполнен путем перезаписи файлов, таких как ~/.bashrc или ~/.popt .
Мы настоятельно рекомендуем всем, кто использует демон или клиент rsync до версии 3.4.0-1 , обновить и перезагрузить свои системы немедленно. Поскольку зеркала Arch Linux в основном синхронизируются с помощью rsync, мы настоятельно рекомендуем любому администратору зеркала действовать немедленно, даже если сами файлы размещенных пакетов имеют криптографическую подпись.
Все серверы инфраструктуры и зеркала, поддерживаемые Arch Linux, уже обновлены.
Оригинал новости