ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಡೆವಲಪರ್ಗಳು ತಮ್ಮ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಮುಖ್ಯ ಆರ್ಚ್ ವಿತರಣಾ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಸೇರಿಸದೆ ವಿತರಿಸಲು ಬಳಸುವ ಒಂದು ಭಂಡಾರವಾದ AUR (ಆರ್ಚ್ ಯೂಸರ್ ರೆಪೊಸಿಟರಿ) ಯಲ್ಲಿ ಪ್ಯಾಕೇಜ್ಗಳ ಮೇಲಿನ ನಿಯಂತ್ರಣವನ್ನು ವಶಪಡಿಸಿಕೊಳ್ಳುವ ಪ್ರಯೋಗದ ಫಲಿತಾಂಶಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ. Linuxಸಂಶೋಧಕರು PKGBUILD ಮತ್ತು SRCINFO ಫೈಲ್ಗಳಲ್ಲಿ ಪಟ್ಟಿ ಮಾಡಲಾದ ಅವಧಿ ಮೀರಿದ ಡೊಮೇನ್ಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ್ದಾರೆ. ಈ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಚಲಾಯಿಸುವಾಗ, ಅವರು 20 ಫೈಲ್ ಡೌನ್ಲೋಡ್ ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ ಬಳಸಲಾದ 14 ಅವಧಿ ಮೀರಿದ ಡೊಮೇನ್ಗಳನ್ನು ಗುರುತಿಸಿದ್ದಾರೆ.
ಪ್ರಾಯೋಗಿಕ ಡೊಮೇನ್ ನೋಂದಣಿ ಪ್ಯಾಕೇಜ್ ವಂಚನೆಗೆ ಇದು ಸಾಕಾಗುವುದಿಲ್ಲ, ಏಕೆಂದರೆ ಡೌನ್ಲೋಡ್ ಮಾಡಿದ ವಿಷಯವನ್ನು ಈಗಾಗಲೇ AUR ಗೆ ಅಪ್ಲೋಡ್ ಮಾಡಲಾದ ಚೆಕ್ಸಮ್ಗೆ ವಿರುದ್ಧವಾಗಿ ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ. ಆದಾಗ್ಯೂ, AUR ನಲ್ಲಿ ಸರಿಸುಮಾರು 35% ಪ್ಯಾಕೇಜ್ಗಳ ನಿರ್ವಾಹಕರು ಚೆಕ್ಸಮ್ ಪರಿಶೀಲನೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು PKGBUILD ಫೈಲ್ನಲ್ಲಿ "SKIP" ನಿಯತಾಂಕವನ್ನು ಬಳಸುತ್ತಾರೆ (ಉದಾಹರಣೆಗೆ, sha256sums=('SKIP')) ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಮೂಲಕ). ಅವಧಿ ಮೀರಿದ ಡೊಮೇನ್ಗಳನ್ನು ಹೊಂದಿರುವ 20 ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ, SKIP ನಿಯತಾಂಕವನ್ನು 4 ರಲ್ಲಿ ಬಳಸಲಾಗಿದೆ.
ದಾಳಿಯ ಕಾರ್ಯಸಾಧ್ಯತೆಯನ್ನು ಪ್ರದರ್ಶಿಸಲು, ಸಂಶೋಧಕರು ಚೆಕ್ಸಮ್ಗಳನ್ನು ಪರಿಶೀಲಿಸದ ಪ್ಯಾಕೇಜ್ನ ಡೊಮೇನ್ ಅನ್ನು ಖರೀದಿಸಿದರು ಮತ್ತು ಕೋಡ್ ಮತ್ತು ಮಾರ್ಪಡಿಸಿದ ಅನುಸ್ಥಾಪನಾ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಹೊಂದಿರುವ ಆರ್ಕೈವ್ ಅನ್ನು ಹೋಸ್ಟ್ ಮಾಡಿದರು. ನಿಜವಾದ ವಿಷಯಗಳ ಬದಲಿಗೆ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಬಗ್ಗೆ ಎಚ್ಚರಿಕೆಯನ್ನು ಪ್ರದರ್ಶಿಸಲು ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಮಾರ್ಪಡಿಸಲಾಗಿದೆ. ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು ಪ್ರಯತ್ನಿಸುವುದರಿಂದ ಮಾರ್ಪಡಿಸಿದ ಫೈಲ್ಗಳ ಡೌನ್ಲೋಡ್ಗೆ ಕಾರಣವಾಯಿತು ಮತ್ತು ಚೆಕ್ಸಮ್ ಅನ್ನು ಪರಿಶೀಲಿಸದ ಕಾರಣ, ಪ್ರಯೋಗಕಾರರು ಸೇರಿಸಿದ ಕೋಡ್ನ ಯಶಸ್ವಿ ಸ್ಥಾಪನೆ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆ ನಡೆಯಿತು.
ಕೋಡ್ಗಳನ್ನು ಹೊಂದಿರುವ ಡೊಮೇನ್ಗಳ ಅವಧಿ ಮುಗಿದ ಪ್ಯಾಕೇಜ್ಗಳು:
- ಫೈರ್ಫಾಕ್ಸ್-ವ್ಯಾಕ್ಯೂಮ್
- gvim-ಚೆಕ್ಪಾತ್
- ವೈನ್-ಪಿಕ್ಸಿ2
- xcursor-ಥೀಮ್-ವೈ
- ಬೆಳಕಿನ ವಲಯ-ಮುಕ್ತ
- ಸ್ಕಾಲಾಫ್ಎಂಟಿ-ಸ್ಥಳೀಯ
- ಕೂಲ್ಕ್ಯೂ-ಪ್ರೊ-ಬಿನ್
- gmedit-ಬಿನ್
- ಮೆಸೆನ್-ಎಸ್-ಬಿನ್
- ಪೊಲ್ಲಿ-ಬಿ-ಗಾನ್
- ಎರ್ವಿಜ್
- ಚಿಕ್ಕ ಮಗು
- ಕೈಗೆಕ್ಟೀಮ್ಪಿಎಂಪಿ 4
- ಸರ್ವಿಸ್ವಾಲ್-ಜಿಟ್
- ತಾಯಿತ-ಬಿನ್
- ಈಥರ್ಡಂಪ್
- ನಿದ್ರೆಗೆ ಜಾರುವ
- ಐಎಸ್ಸಿಎಫ್ಪಿಸಿ
- ಐಎಸ್ಸಿಎಫ್ಪಿಸಿ-ಆರ್ಚ್64
- ಐಎಸ್ಸಿಎಫ್ಪಿಸಿಎಕ್ಸ್
ಮೂಲ: opennet.ru
