Ang mga resulta sa usa ka eksperimento sa pag-ilog sa kontrol sa mga pakete sa AUR (Arch User Repository) repository, nga gigamit sa mga third-party developers sa pag-apod-apod sa ilang mga pakete nga wala gilakip sa mga nag-unang repository sa Arch Linux distribution, gimantala. Ang mga tigdukiduki nag-andam og script nga nagsusi sa expiration sa pagrehistro sa mga domain nga makita sa PKGBUILD ug SRCINFO files. Ang pagpadagan niini nga script nag-ila sa 14 ka expired nga domain nga gigamit sa 20 ka file upload packages.
Ang pagparehistro lang sa usa ka domain dili igo sa pagpanglimbong sa package, tungod kay ang na-download nga sulod gisusi batok sa checksum nga na-upload na sa AUR. Bisan pa, mga 35% sa mga pakete sa AUR makita nga naggamit sa parameter nga "SKIP" sa PKGBUILD file aron laktawan ang checksum check (pananglitan, ipiho ang sha256sums=('SKIP')). Sa 20 ka pakete nga adunay expired nga domain, ang SKIP parameter gigamit sa 4.
Aron ipakita ang posibilidad sa pag-atake, gipalit sa mga tigdukiduki ang domain sa usa sa mga pakete nga wala magsusi sa mga checksum, ug gibutang ang usa ka archive nga adunay code ug usa ka giusab nga script sa pag-install niini. Imbis sa aktuwal nga sulud, usa ka pasidaan bahin sa pagpatuman sa code sa ikatulo nga partido ang gidugang sa script. Ang pagsulay sa pag-instalar sa package misangpot sa pag-download sa mga spoofed files ug, tungod kay ang checksum wala masusi, ngadto sa malampuson nga pag-instalar ug paglansad sa code nga gidugang sa mga eksperimento.
Mga pakete nga adunay expired nga domain:
- firefox-vacuum
- gvim-checkpath
- bino-pixi2
- xcursor-theme-wii
- walay lightzone
- scalafmt-lumad
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-wala na
- erwiz
- todd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Source: opennet.ru