Version critique de sécurité rsync 3.4.0
21 janvier 2025 - FoolEcho
Nous[NdT: mainteneurs d’Arch] souhaitons attirer l’attention sur la version de sécurité rsync 3.4.0-1 décrite dans notre avis ASA-202501-1.
Un attaquant n’a besoin que d’un accès en lecture anonyme à un serveur rsync vulnérable, tel qu’un miroir public, pour exécuter du code arbitraire sur la machine sur laquelle le serveur s’exécute. De plus, les attaquants peuvent prendre le contrôle d’un serveur affecté et lire/écrire des fichiers arbitraires de n’importe quel client connecté. Des données sensibles peuvent être extraites, telles que les clés OpenPGP et SSH, et du code malveillant peut être exécuté en écrasant des fichiers tels que ~/.bashrc ou ~/.popt.
Nous conseillons vivement à toute personne exécutant un démon ou un client rsync antérieur à la version 3.4.0-1 de mettre à niveau et de redémarrer immédiatement ses systèmes. Comme les miroirs Arch Linux sont principalement synchronisés à l’aide de rsync, nous conseillons vivement à tout administrateur de miroir d’agir immédiatement, même si les fichiers de package hébergés sont eux-mêmes signés de manière cryptographique.
Tous les serveurs d’infrastructure et les miroirs maintenus par Arch Linux ont déjà été mis à jour.