Објавени се резултатите од експериментот за преземање контрола врз пакетите во AUR (Arch User Repository), репозиториум што го користат програмери од трети страни за дистрибуција на нивните пакети без да ги вклучат во главните дистрибутивни репозиториуми на Arch. LinuxИстражувачите развија скрипта што проверува за истечени домени наведени во датотеките PKGBUILD и SRCINFO. Извршувајќи ја оваа скрипта, тие идентификуваа 14 истечени домени што се користат во 20 пакети за преземање датотеки.
Едноставно регистрација на домен Ова не е доволно за лажирање на пакети, бидејќи преземената содржина се проверува во однос на контролната сума што веќе е качена на AUR. Сепак, се покажа дека одржувачите на приближно 35% од пакетите во AUR го користат параметарот „SKIP“ во датотеката PKGBUILD за да ја заобиколат проверката на контролната сума (на пример, со наведување sha256sums=('SKIP')). Од 20-те пакети со истечени домени, параметарот SKIP беше користен во 4.
За да ја покажат можноста за извршување на напад, истражувачите го купија доменот на еден од пакетите што не ги проверува контролните суми и поставија архива со кодот и изменета скрипта за инсталација на неа. Наместо вистинската содржина, во скриптата е додадена предупредувачка порака за извршување на код од трета страна. Обидот да се инсталира пакетот доведе до преземање на заменети датотеки и, бидејќи контролната сума не беше проверена, до успешна инсталација и стартување на кодот додаден од експериментаторите.
Пакети чии домени со код беа истечени:
- firefox-вакуум
- gvim-чек патека
- вино-пикси2
- xcursor-theme-wii
- без светлосна зона
- скалафмт-мајчин
- coolq-про-бин
- gmedit-bin
- месен-с-бин
- поли-б-поминаа
- ервиз
- тод
- kygekteampmmp4
- сервисен ѕид-гит
- амајлија-канта
- етердамп
- корпа за спиење
- iscfpc
- iscfpc-aarch64
- iscfpcx
Извор: opennet.ru
