I risultati di un esperimentu per piglià u cuntrollu di i pacchetti in u repository AUR (Arch User Repository), utilizatu per a distribuzione da i sviluppatori di terzu di i so pacchetti senza inclusi in i repositori principali di a distribuzione Arch Linux, sò stati publicati. I circadori anu preparatu un script chì verifica a scadenza di e registrazioni di u duminiu apparsu in i schedari PKGBUILD è SRCINFO. Quandu eseguisce stu script, 14 duminii scaduti sò stati identificati, utilizati in pacchetti 20 per scaricà i fugliali.
Simply registrà un duminiu ùn hè micca abbastanza per spoof un pacchettu, postu chì u cuntenutu telecaricatu hè verificatu contr'à u checksum digià caricatu in l'AUR. Tuttavia, risulta chì i mantenitori di circa 35% di i pacchetti in l'AUR utilizanu u paràmetru "SKIP" in u schedariu PKGBUILD per saltà a verificazione di checksum (per esempiu, specifichi sha256sums=('SKIP')). Di i pacchetti 20 cù domini scaduti, u paràmetru SKIP hè stata utilizata in 4.
Per dimustrà a pussibilità di realizà un attaccu, i circadori compru u duminiu di unu di i pacchetti chì ùn cuntrolla micca i checksums è pusonu un archiviu cù u codice è un script d'installazione mudificatu nantu à questu. Invece di u cuntenutu propiu, un missaghju d'avvertimentu annantu à l'esekzione di codice di terzu hè statu aghjuntu à u script. Un tentativu di stallà u pacchettu hà purtatu à u scaricamentu di i schedari sustituiti è, postu chì a checksum ùn hè micca verificatu, à a stallazione successu è u lanciu di u codice aghjuntu da i sperimentatori.
Pacchetti chì i duminii cù codice sò scaduti:
- firefox-vacuum
- gvim-checkpath
- vinu-pixi2
- xcursor-theme-wii
- senza lightzone
- scalafmt-native
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-andatu
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Source: opennet.ru