Les résultats d'une expérience de prise de contrôle des packages dans le référentiel AUR (Arch User Repository), utilisé pour la distribution par des développeurs tiers de leurs packages sans inclusion dans les référentiels principaux de la distribution Arch Linux, ont été publiés. Les chercheurs ont préparé un script qui vérifie l'expiration des enregistrements de domaine apparaissant dans les fichiers PKGBUILD et SRCINFO. Lors de l'exécution de ce script, 14 domaines expirés ont été identifiés, utilisés dans 20 packages pour le téléchargement de fichiers.
Le simple enregistrement d'un domaine ne suffit pas pour usurper un package, puisque le contenu téléchargé est vérifié par rapport à la somme de contrôle déjà chargée dans l'AUR. Cependant, il s'avère que les responsables d'environ 35 % des packages de l'AUR utilisent le paramètre "SKIP" dans le fichier PKGBUILD pour ignorer la vérification de la somme de contrôle (par exemple, spécifiez sha256sums=('SKIP')). Sur les 20 paquets avec des domaines expirés, le paramètre SKIP a été utilisé dans 4.
Pour démontrer la possibilité de mener une attaque, les chercheurs ont acheté le domaine de l'un des packages qui ne vérifie pas les sommes de contrôle et y ont placé une archive avec le code et un script d'installation modifié. Au lieu du contenu réel, un message d'avertissement concernant l'exécution de code tiers a été ajouté au script. Une tentative d'installation du package a conduit au téléchargement de fichiers de substitution et, la somme de contrôle n'ayant pas été vérifiée, à l'installation et au lancement réussis du code ajouté par les expérimentateurs.
Forfaits dont les domaines avec code ont expiré :
- Firefox-aspirateur
- gvim-checkpath
- vin-pixi2
- xcursor-thème-wii
- sans zone lumineuse
- Scalafmt-natif
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- Polly-B-parti
- Erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletteml-bin
- etherdump
- poubelle à sieste
- iscfpc
- iscfpc-aarch64
- iscfpcx
Source: opennet.ru