D'Resultater vun engem Experiment iwwer d'Kontroll vu Paketen am AUR (Arch User Repository) Repository, benotzt fir Verdeelung vun Drëtt-Partei Entwéckler vun hire Packagen ouni Inklusioun an den Haaptrepositories vun der Arch Linux Verdeelung, goufen publizéiert. D'Fuerscher hunn e Skript virbereet, deen d'Verfall vun den Domainregistratiounen iwwerpréift, déi an de PKGBUILD- a SRCINFO-Dateien erscheinen. Wann Dir dëse Skript leeft, goufen 14 ofgelaaf Domainen identifizéiert, an 20 Packagen benotzt fir Dateien erofzelueden.
Einfach en Domain registréieren ass net genuch fir e Package ze spoofen, well den erofgelueden Inhalt géint d'Kontrollsum, déi schonn an d'AUR gelueden ass, gepréift gëtt. Wéi och ëmmer, et stellt sech eraus datt Ënnerhalter vu ronn 35% vun de Packagen an der AUR den "SKIP" Parameter an der PKGBUILD Datei benotzen fir d'Kontrollsumverifikatioun ze iwwersprangen (zum Beispill spezifizéieren sha256sums=('SKIP')). Vun den 20 Pakete mat ofgelaaften Domainen gouf de SKIP Parameter a 4 benotzt.
Fir d'Méiglechkeet ze weisen, en Attack auszeféieren, hunn d'Fuerscher d'Domain vun engem vun de Packagen kaaft, déi keng Kontrollsummen iwwerpréift an en Archiv mat dem Code an engem modifizéierten Installatiounsskript drop gesat hunn. Amplaz vum aktuellen Inhalt gouf eng Warnungsmeldung iwwer d'Ausféierung vun Drëtt Partei Code un de Skript bäigefüügt. E Versuch de Package z'installéieren huet zum Download vun ersat Dateien gefouert an, well d'Kontrollsum net iwwerpréift gouf, zu der erfollegräicher Installatioun an dem Start vum Code vun den Experimenter bäigefüügt.
Packagen deenen hir Domainen mat Code ofgelaaf sinn:
- firefox-Vakuum
- gvim-checkpath
- Wäin-Pixi2
- xcursor-thema-wii
- lightzone-gratis
- scalafmt-gebierteg
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-goen
- erwiz
- totd
- kygekcampmmp4
- servicewall-git
- amulettml-bin
- etherdump
- Schlof-Bunn
- iscfpc
- iscfpc-aarch64
- iscfpcx
Source: opennet.ru