Experiment zur Kontrolle von Paketen im AUR-Repository

Die Ergebnisse eines Experiments zur Kontrolle von Paketmanipulationen im AUR (Arch User Repository), das von Drittentwicklern zur Verbreitung ihrer Pakete ohne Einbeziehung in die Hauptrepositories von Arch Linux verwendet wird, wurden veröffentlicht. Die Forscher haben ein Skript erstellt, das das Ablaufdatum von Domainregistrierungen in den PKGBUILD- und SRCINFO-Dateien überprüft. Während der Ausführung dieses Skripts wurden 14 abgelaufene Domains identifiziert, die in 20 Paketen zur Dateiübertragung verwendet werden.

Einfacher Domainregistrierung genügt nicht für einen Paket-Substitution, da der heruntergeladene Inhalt anhand der bereits im AUR hochgeladenen Prüfziffern überprüft wird. Dennoch stellte sich heraus, dass etwa 35 % der Pakete im AUR im PKGBUILD-Dateiparameter „SKIP“ verwenden, um die Überprüfung der Prüfziffer zu umgehen (zum Beispiel wird sha256sums=(‘SKIP’) angegeben). Von den 20 Paketen mit abgelaufenen Domains wurde der SKIP-Parameter in 4 verwendet.

Um die Möglichkeit eines Angriffs zu demonstrieren, erwarben die Forscher eine Domain eines Pakets, das keine Prüfziffern überprüft, und platzierten dort ein Archiv mit Code und einem modifizierten Installationsskript. Anstelle des tatsächlichen Inhalts wurde im Skript eine Warnung über die Ausführung von Fremdcode hinzugefügt. Der Versuch, das Paket zu installieren, führte zum Herunterladen von manipulierten Dateien und, da die Prüfziffer nicht überprüft wurde, zur erfolgreichen Installation und Ausführung des von den Experimentatoren hinzugefügten Codes.

Pakete, deren Domains mit Code abgelaufen sind:

  • firefox-vacuum
  • gvim-checkpath
  • wine-pixi2
  • xcursor-theme-wii
  • lightzone-free
  • scalafmt-native
  • coolq-pro-bin
  • gmedit-bin
  • mesen-s-bin
  • polly-b-gone
  • erwiz
  • totd
  • kygekteampmmp4
  • servicewall-git
  • amuletml-bin
  • etherdump
  • nap-bin
  • iscfpc
  • iscfpc-aarch64
  • iscfpcx

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster