Arch Linux Chinese Messages
关键 rsync 安全更新 3.4.0 我们想提醒大家 rsync 发布了安全版本更新 3.4.0-1 ,已经在公告 ASA-202501-1 中所描述。 攻击者仅需要 rsync 服务器的匿名读取权限,比如公共镜像站,就可在服务器端的机器上执行任意代码。并且,攻击者可以控制受影响的服务器端,然后在连接上该服务器的客户端读写任意文件。据此可以获取敏感信息,比如 OpenGPG 和 SSH 的私钥,并且可以通过写入 ~/.bashrc 或 ~/.popt 文件的方式执行恶意代码。 我们强烈建议所有在执行 3.4.0…
TL;DR
鉴于影响范围之大、影响后果之严重,请各位订户对所有对外开放的 Rsync (例如各种镜像站) 服务立即更新 rsync 至 3.4.0-1 版本,或者关闭对外访问权限。
各位订户如果有在 rsync 对外开放读取权限的服务器上任意位置有放任何机密文件(例如 ssh-key pgp key 或 SSL 证书),也请立即吊销并轮换密钥。
从目前的消息来看,应该不会存在提权风险,不过笔者仍然建议谨慎对待。
#供应链危机 #安全漏洞 #RCE #Rsync
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3