Megjelentek az AUR (Arch User Repository) lerakatban lévő csomagok vezérlésének lefoglalására irányuló kísérlet eredményei, amelyet harmadik féltől származó fejlesztők használnak csomagjaik terjesztésére anélkül, hogy az Arch Linux disztribúció fő tárolóiba belekerülnének. A kutatók elkészítettek egy szkriptet, amely ellenőrzi a PKGBUILD és SRCINFO fájlokban megjelenő domain regisztrációk lejártát. A szkript futtatásakor 14 lejárt tartományt azonosítottunk, amelyeket 20 csomagban használtak fájlok letöltésére.
Egy domain regisztrációja nem elegendő a csomag meghamisításához, mivel a letöltött tartalmat az AUR-ba már betöltött ellenőrzőösszeghez hasonlítják. Kiderült azonban, hogy az AUR-ban lévő csomagok körülbelül 35%-ának karbantartói a PKGBUILD fájl "SKIP" paraméterét használják az ellenőrzőösszeg ellenőrzésének kihagyására (például adja meg a sha256sums=('SKIP')). A 20 lejárt tartományú csomagból 4-ben a SKIP paramétert használták.
A támadás végrehajtásának lehetőségének bemutatására a kutatók megvásárolták az egyik csomag domainjét, amely nem ellenőrzi az ellenőrző összegeket, és egy archívumot helyeztek el rajta a kóddal és egy módosított telepítőszkripttel. A tényleges tartalom helyett a szkripthez egy figyelmeztető üzenet került a harmadik féltől származó kód végrehajtására. A csomag telepítési kísérlete helyettesített fájlok letöltéséhez vezetett, és mivel az ellenőrző összeget nem ellenőrizték, a kísérletezők által hozzáadott kód sikeres telepítéséhez és elindításához.
Csomagok, amelyeknek a kóddal rendelkező domainje lejárt:
- firefox-vákuum
- gvim-checkpath
- bor-pixi2
- xcursor-theme-wii
- fényzóna mentes
- scalafmt-bennszülött
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-elment
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Forrás: opennet.ru