Гуравдагч этгээдийн хөгжүүлэгчид өөрсдийн багцуудаа Arch Linux түгээлтийн үндсэн агуулахад оруулахгүйгээр түгээхэд ашигладаг AUR (Arch User Repository) репозитор дахь багцын хяналтыг хураах туршилтын үр дүн нийтлэгдсэн байна. Судлаачид PKGBUILD болон SRCINFO файлд гарч буй домэйн бүртгэлийн хугацаа дууссан эсэхийг шалгадаг скрипт бэлтгэсэн байна. Энэ скриптийг ажиллуулах үед хугацаа нь дууссан 14 домэйн тодорхойлогдсон бөгөөд файлуудыг татаж авахад 20 багцад ашигласан.
Татаж авсан контентыг AUR-д аль хэдийн ачаалагдсан шалгах нийлбэртэй харьцуулж шалгадаг тул зүгээр л домэйн бүртгүүлэх нь багцыг хуурахад хангалтгүй юм. Гэсэн хэдий ч, AUR дахь багцуудын 35 орчим хувийг засварлагчид PKGBUILD файл дахь "SKIP" параметрийг ашиглан шалгах нийлбэр баталгаажуулалтыг алгасах болно (жишээ нь, sha256sums=('SKIP') гэж зааж өгнө). Хугацаа нь дууссан домэйн бүхий 20 пакетаас 4-т нь SKIP параметрийг ашигласан.
Халдлага үйлдэх боломжтойг харуулахын тулд судлаачид хяналтын нийлбэрийг шалгадаггүй багцуудын аль нэгний домэйныг худалдан авч, код болон өөрчилсөн суулгацын скрипт бүхий архивыг байрлуулсан байна. Бодит агуулгын оронд гуравдагч этгээдийн кодыг гүйцэтгэх тухай сэрэмжлүүлэг мессежийг скриптэд нэмсэн. Багцыг суулгах оролдлого нь орлуулсан файлуудыг татаж авах, шалгах нийлбэрийг шалгаагүй тул туршилтанд оролцогчдын нэмсэн кодыг амжилттай суулгаж, эхлүүлэхэд хүргэсэн.
Кодтой домайнуудын хугацаа дууссан багцууд:
- firefox-вакуум
- gvim-шалгах зам
- дарс-пикси2
- xcursor-theme-wii
- гэрлийн бүсгүй
- scalafmt-уугуул
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-явсан
- эрвиз
- totd
- kygekteampmmp4
- servicewall-git
- сахиусмл-бин
- etherdump
- нойрны сав
- iscfpc
- iscfpc-aarch64
- iscfpcx
Эх сурвалж: opennet.ru