🥇 ניסוי כדי לקבל שליטה על חבילות במאגר AUR

פורסמו תוצאות ניסוי לתפיסת שליטה על חבילות במאגר AUR (Arch User Repository), המשמש מפתחי צד שלישי כדי להפיץ את החבילות שלהם מבלי להיכלל במאגרים הראשיים של הפצת Arch Linux. החוקרים הכינו סקריפט שבודק את פקיעת הרישום של דומיינים המופיעים בקבצי PKGBUILD ו- SRCINFO. הפעלת סקריפט זה חשפה 14 דומיינים שפג תוקפם בשימוש ב-20 חבילות העלאת קבצים.

פשוט רישום דומיין אינו מספיק כדי לזייף את החבילה, מכיוון שהתוכן שהורד נבדק מול סכום הבדיקה שכבר הועלה ב-AUR. עם זאת, נראה כי כ-35% מהחבילות ב-AUR משתמשות בפרמטר "SKIP" בקובץ PKGBUILD כדי לדלג על בדיקת ה-checksum (לדוגמה, ציין sha256sums=('SKIP')). מתוך 20 החבילות עם דומיינים שפג תוקפם, נעשה שימוש בפרמטר SKIP ב-4.

כדי להדגים אפשרות של ביצוע תקיפה, החוקרים קנו את הדומיין של אחת החבילות שאינן בודקות סיכומי צ'ק, והציבו עליו ארכיון עם הקוד וסקריפט התקנה שונה. במקום התוכן בפועל, נוספה לסקריפט אזהרה על ביצוע קוד של צד שלישי. ניסיון להתקין את החבילה הוביל להורדה של קבצים מזויפים ומאחר שסכום הבדיקה לא נבדק, להתקנה והשקה מוצלחות של הקוד שנוספו על ידי הנסיינים.

חבילות עם דומיינים שפג תוקפם:

פיירפוקס-וואקום
gvim-checkpath
wine-pixi2
xcursor-theme-wii
ללא אזורי אור
scalafmt-יליד
coolq-pro-bin
gmedit-bin
mesen-s-bin
פולי-ב-נעלם
erwiz
טוד
kygekcampmmp4
servicewall-git
amuletml-bin
etherdump
פח תנומה
iscfpc
iscfpc-aarch64
iscfpcx

מקור: OpenNet.ru

ניסוי כדי לקבל שליטה על חבילות במאגר AUR

הוספת תגובה ביטול תגובה