Arch Linux en español

2 readers
1 users here now

Comunidad de usuarios de Arch Linux en español. Ya seas un usuario que empieza o un usuario avanzado este es tu sitio.

founded 2 months ago
MODERATORS
ogarcia
listing: all - local
1
0
Actualización crítica de seguridad 3.4.0 de rsync (archlinux.org)
submitted 1 week ago by ogarcia to c/archlinuxes
0 comments fedilink
 
 

Nos gustaría dar a conocer la actualización de seguridad de rsync 3.4.0-1 descrita en nuestro aviso ASA-202501-1.

Un atacante sólo necesita acceso de lectura anónimo a un servidor rsync vulnerable, como una réplica pública, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor. Además, los atacantes pueden tomar el control de un servidor afectado y leer/escribir archivos arbitrarios de cualquier cliente conectado. Se pueden extraer datos sensibles, como claves OpenPGP y SSH, y ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt.

Recomendamos encarecidamente a cualquiera que ejecute un demonio o cliente rsync anterior a la versión 3.4.0-1 que actualice y reinicie sus sistemas inmediatamente. Dado que las réplicas de Arch Linux se sincronizan principalmente mediante rsync, también recomendamos encarecidamente a cualquier administrador de réplicas que actúe de inmediato, aunque los propios archivos de paquetes alojados estén firmados criptográficamente.

Todos los servidores de infraestructura y réplicas mantenidos por Arch Linux ya han sido actualizados.

2
1
Proporcionar una licencia para las fuentes de los paquetes (archlinux.org)
submitted 2 months ago by ogarcia to c/archlinuxes
0 comments fedilink
 
 

Arch Linux no ha tenido en el pasado una licencia para ninguna fuente de paquetes (como los archivos PKGBUILD), lo que es potencialmente problemático. Proporcionar una licencia evitará esa incertidumbre.

En el RFC 40 acordamos cambiar todas las fuentes de paquetes para que se licencien bajo la licencia muy liberal 0BSD. Este cambio no limitará lo que puedes hacer con los paquetes fuente. Échale un vistazo al RFC para más información sobre los fundamentos y discusiones previas.

Antes de que hagamos este cambio, proporcionaremos a los contribuidores una vía de expresar cualquier objeción que puedan tener. A partir del 2024-11-19, en el transcurso de una semana, los colaboradores recibirán un único correo electrónico de notificación con la lista de todas sus contribuciones.

  • Si recibes un correo electrónico y estás de acuerdo con este cambio, no tendrás que hacer nada.
  • Si no estás de acuerdo, responde al correo electrónico y encontraremos juntos una solución.

Si has contribuido antes con los paquetes de Arch Linux pero no has recibido un correo electrónico, ponte en contacto con nosotros en [email protected].

3
2
Se requiere intervención manual para pacman 7.0.0 y repositorios locales (archlinux.org)
submitted 2 months ago* (last edited 2 months ago) by ogarcia to c/archlinuxes
0 comments fedilink
 
 

Con el lanzamiento de la versión 7.0.0 pacman ha añadido soporte para descargar paquetes como un usuario separado con privilegios eliminados.

Sin embargo, para los usuarios con repositorios locales esto puede implicar que el usuario de descarga no tenga acceso a los archivos en cuestión, lo que puede solucionarse asignando los archivos y la carpeta al grupo alpm y asegurándose de que el bit ejecutable (+x) está activado en las carpetas en cuestión.

$ chown :alpm -R /ruta/al/local/repo

Recuerda fusionar los archivos .pacnew para aplicar el nuevo valor por defecto.

Pacman también ha introducido un cambio para mejorar la estabilidad de la suma de comprobación para los repositorios git que utilizan archivos .gitattributes. Esto podría requerir un único cambio de la suma de comprobación para PKGBUILDs que utilizan fuentes git.