La rezultoj de eksperimento pri ekkaptado de kontrolo de pakaĵoj en la deponejo AUR (Arch User Repository), uzata por distribuo de triaj programistoj de siaj pakaĵoj sen inkluziviĝo en la ĉefaj deponejoj de la distribuo Arch Linux, estis publikigitaj. La esploristoj preparis skripton, kiu kontrolas la eksvalidiĝon de domajnaj registradoj aperantaj en la dosieroj PKGBUILD kaj SRCINFO. Dum funkciado de ĉi tiu skripto, 14 eksvalidiĝintaj domajnoj estis identigitaj, uzataj en 20 pakoj por elŝuti dosierojn.
Simple registri domajnon ne sufiĉas por falsigi pakaĵon, ĉar la elŝutita enhavo estas kontrolita kontraŭ la ĉeksumo jam ŝarĝita en la AUR. Tamen, rezultas, ke prizorgantoj de ĉirkaŭ 35% de la pakaĵoj en la AUR uzas la "SKIP" parametron en la PKGBUILD-dosiero por preterlasi kontrolon de kontrolo (ekzemple, specifu sha256sums=('SKIP')). El la 20 pakoj kun eksvalidiĝintaj domajnoj, la SKIP-parametro estis uzata en 4.
Por pruvi la eblecon fari atakon, la esploristoj aĉetis la domajnon de unu el la pakaĵoj, kiu ne kontrolas kontrolsumojn kaj metis arkivon kun la kodo kaj modifita instala skripto sur ĝin. Anstataŭ la reala enhavo, averta mesaĝo pri la ekzekuto de triaparta kodo estis aldonita al la skripto. Provo instali la pakaĵon kondukis al elŝuto de anstataŭigitaj dosieroj kaj, ĉar la ĉeksumo ne estis kontrolita, al sukcesa instalado kaj lanĉo de la kodo aldonita de la eksperimentantoj.
Pakoj, kies domajnoj kun kodo eksvalidiĝis:
- firefox-vacuum
- gvim-checkpath
- vino-pixi2
- xcursor-theme-wii
- lumzono-libera
- scalafmt-denaska
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-for
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
fonto: opennet.ru