Nos gustaría dar a conocer la actualización de seguridad de rsync 3.4.0-1 descrita en nuestro aviso ASA-202501-1.

Un atacante sólo necesita acceso de lectura anónimo a un servidor rsync vulnerable, como una réplica pública, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor. Además, los atacantes pueden tomar el control de un servidor afectado y leer/escribir archivos arbitrarios de cualquier cliente conectado. Se pueden extraer datos sensibles, como claves OpenPGP y SSH, y ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt.

Recomendamos encarecidamente a cualquiera que ejecute un demonio o cliente rsync anterior a la versión 3.4.0-1 que actualice y reinicie sus sistemas inmediatamente. Dado que las réplicas de Arch Linux se sincronizan principalmente mediante rsync, también recomendamos encarecidamente a cualquier administrador de réplicas que actúe de inmediato, aunque los propios archivos de paquetes alojados estén firmados criptográficamente.

Todos los servidores de infraestructura y réplicas mantenidos por Arch Linux ya han sido actualizados.