Critical rsync security release 3.4.0

2025-01-16 - Robin Candau

我们希望通过我们的安全通告ASA-202501-1提醒大家关注rsync安全版本3.4.0-1。

攻击者仅需对易受攻击的rsync服务器（如公共镜像）具有匿名读取访问权限，即可在服务器运行的机器上执行任意代码。

此外，攻击者可以控制受影响的服务器，并读取/写入任何连接客户端的任意文件。

攻击者可以提取敏感数据，如OpenPGP和SSH密钥，并通过覆盖诸如~/.bashrc或~/.popt等文件来执行恶意代码。

我们强烈建议任何运行3.4.0-1之前版本rsync守护进程或客户端的用户立即升级并重启系统。

由于Arch Linux镜像主要使用rsync进行同步，我们强烈建议所有镜像管理员立即采取行动，即使托管的软件包文件本身经过加密签名。

Arch Linux维护的所有基础设施服务器和镜像均已更新完成。