تم نشر نتائج تجربة للسيطرة على الحزم في مستودع AUR (مستودع مستخدم Arch) ، والذي يستخدمه مطورو الطرف الثالث لتوزيع حزمهم دون تضمينها في المستودعات الرئيسية لتوزيع Arch Linux. أعد الباحثون نصًا للتحقق من انتهاء صلاحية تسجيل المجالات التي تظهر في ملفات PKGBUILD و SRCINFO. حدد تشغيل هذا البرنامج النصي 14 مجالًا منتهي الصلاحية مستخدمة في 20 حزمة تحميل ملف.
لا يكفي مجرد تسجيل مجال لانتحال الحزمة ، حيث يتم فحص المحتوى الذي تم تنزيله مقابل المجموع الاختباري الذي تم تحميله بالفعل في AUR. ومع ذلك ، يبدو أن حوالي 35٪ من الحزم في AUR تستخدم معلمة "SKIP" في ملف PKGBUILD لتخطي فحص المجموع الاختباري (على سبيل المثال ، حدد sha256sums = ('SKIP')). من بين 20 حزمة ذات نطاقات منتهية الصلاحية ، تم استخدام معلمة SKIP في 4.
لإثبات إمكانية ارتكاب هجوم ، قام الباحثون بشراء مجال إحدى الحزم التي لا تتحقق من المجاميع الاختبارية ، ووضعوا أرشيفًا يحتوي على الكود ونص التثبيت المعدل عليه. بدلاً من المحتوى الفعلي ، تمت إضافة تحذير حول تنفيذ تعليمات برمجية لجهة خارجية إلى البرنامج النصي. أدت محاولة تثبيت الحزمة إلى تنزيل الملفات المخادعة ، وبما أنه لم يتم التحقق من المجموع الاختباري ، فقد أدى ذلك إلى التثبيت الناجح وإطلاق الكود الذي أضافه المجربون.
الحزم ذات المجالات منتهية الصلاحية:
- فايرفوكس فراغ
- gvim-checkpath
- النبيذ pixi2
- xcursor-theme-wii
- lightzone خالية
- scalafmt الأصلي
- كولك برو بن
- gmedit- بن
- ميسن إس بن
- بولي ب ذهب
- ارويز
- تود
- kygekteampmmp4
- سيرفيسوال-جيت
- تميمة بن
- إيثردامب
- قيلولة بن
- com.iscfpc
- iscfpc-aarch64
- com.iscfpcx
المصدر: opennet.ru