我们想提醒大家 rsync 发布了安全版本更新 3.4.0-1 ,已经在公告 ASA-202501-1 中所描述。
攻击者仅需要 rsync 服务器的匿名读取权限,比如公共镜像站,就可在服务器端的机器上执行任意代码。并且,攻击者可以控制受影响的服务器端,然后在连接上该服务器的客户端读写任意文件。据此可以获取敏感信息,比如 OpenGPG 和 SSH 的私钥,并且可以通过写入 ~/.bashrc 或 ~/.popt 文件的方式执行恶意代码。
我们强烈建议所有在执行 3.4.0-1 之前版本的 rsync 守护进程或者客户端的用户立刻升级系统并重启。以及因为 Arch Linux 镜像站通常使用 rsync 同步更新,我们强烈建议所有镜像站管理员立刻行动,即便这些镜像站中提供的包文件本身是被加密签名保护的。
所有 Arch Linux 维护的基础设施服务器和镜像服务器已经更新修复。
欢迎来到 Arch Linux 中文社区
Arch Linux是一个轻量的、灵活的Linux发行版,遵循K.I.S.S.原则。
目前我们有专门为x86_64架构优化的官方软件包。作为官方软件包的补充,我们还有一个社区维护的,数量和质量每天都在增长和进步的软件源。
我们强大的社区热情而乐于助人,同时我们以能够用自己的技术能力使用Arch并作为Arch的主干力量而自豪。请查阅我们的论坛和邮件列表来加入我们。如果你想了解更多关于Arch的信息,可以看一看我们的Wiki。
