Опубликованы результаты эксперимента по захвату контроля над пакетами в репозитории AUR (Arch User Repository), применяемом для распространения сторонними разработчиками своих пакетов без включения в основные репозитории дистрибутива Arch Linux. Исследователи подготовили скрипт, проверяющий истечение регистрации доменов, фигурирующих в файлах PKGBUILD и SRCINFO. В ходе запуска данного скрипта было выявлено 14 просроченных домена, используемых в 20 пакетах для загрузки файлов.
Einfach Domain Aschreiwung Dëst ass net genuch fir Paket-Spoofing, well den erofgeluedenen Inhalt géint d'Kontrollsum verifizéiert gëtt, déi scho an der AUR eropgeluede gouf. Et huet sech awer erausgestallt, datt d'Maintenancer vun ongeféier 35% vun de Paketen an der AUR de Parameter "SKIP" an der PKGBUILD Datei benotzen, fir d'Kontrollsumverifizéierung ze ëmgoen (zum Beispill andeems se sha256sums=('SKIP') spezifizéieren). Vun den 20 Paketen mat ofgelafene Domainen gouf de Parameter SKIP a 4 benotzt.
Fir d'Méiglechkeet ze weisen, en Attack auszeféieren, hunn d'Fuerscher d'Domain vun engem vun de Packagen kaaft, déi keng Kontrollsummen iwwerpréift an en Archiv mat dem Code an engem modifizéierten Installatiounsskript drop gesat hunn. Amplaz vum aktuellen Inhalt gouf eng Warnungsmeldung iwwer d'Ausféierung vun Drëtt Partei Code un de Skript bäigefüügt. E Versuch de Package z'installéieren huet zum Download vun ersat Dateien gefouert an, well d'Kontrollsum net iwwerpréift gouf, zu der erfollegräicher Installatioun an dem Start vum Code vun den Experimenter bäigefüügt.
Packagen deenen hir Domainen mat Code ofgelaaf sinn:
- firefox-Vakuum
- gvim-checkpath
- Wäin-Pixi2
- xcursor-thema-wii
- lightzone-gratis
- scalafmt-gebierteg
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-goen
- erwiz
- totd
- kygekcampmmp4
- servicewall-git
- amulettml-bin
- etherdump
- Schlof-Bunn
- iscfpc
- iscfpc-aarch64
- iscfpcx
Source: opennet.ru
