Die resultate van 'n eksperiment oor die beheer van pakkette in die AUR (Arch User Repository)-bewaarplek, wat gebruik word vir verspreiding deur derdeparty-ontwikkelaars van hul pakkette sonder insluiting in die hoofbewaarplekke van die Arch Linux-verspreiding, is gepubliseer. Die navorsers het 'n skrif voorberei wat die verstryking van domeinregistrasies wat in die PKGBUILD- en SRCINFO-lêers verskyn, nagaan. Wanneer hierdie skrif uitgevoer word, is 14 domeine wat verval het, geïdentifiseer wat in 20 pakkette gebruik is om lêers af te laai.
Die registrasie van 'n domein is nie genoeg om 'n pakket te bedrieg nie, aangesien die afgelaaide inhoud gekontroleer word teen die kontrolesom wat reeds in die AUR gelaai is. Dit blyk egter dat instandhouers van ongeveer 35% van die pakkette in die AUR die "SKIP"-parameter in die PKGBUILD-lêer gebruik om kontrolesomverifikasie oor te slaan (spesifiseer byvoorbeeld sha256sums=('SKIP')). Van die 20 pakkies met domeine wat verval het, is die SKIP-parameter in 4 gebruik.
Om die moontlikheid om 'n aanval uit te voer te demonstreer, het die navorsers die domein van een van die pakkette gekoop wat nie kontrolesomme nagaan nie en 'n argief met die kode en 'n gewysigde installasieskrip daarop geplaas. In plaas van die werklike inhoud, is 'n waarskuwingsboodskap oor die uitvoering van derdeparty-kode by die skrif gevoeg. 'n Poging om die pakket te installeer het gelei tot die aflaai van vervangende lêers en, aangesien die kontrolesom nie nagegaan is nie, tot die suksesvolle installering en bekendstelling van die kode wat deur die eksperimenteerders bygevoeg is.
Pakkette waarvan die domeine met kode verval het:
- firefox-vakuum
- gvim-kontrolepad
- wyn-pixi2
- xcursor-tema-wii
- ligsone-vry
- scalafmt-inheems
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-weg
- erwiz
- totd
- kygekkampmmp4
- servicewall-git
- amuletml-bin
- eterdump
- dut-bak
- iscfpc
- iscfpc-aarch64
- iscfpcx
Bron: opennet.ru