Гуравдагч талын хөгжүүлэгчид Arch Linux-ийн үндсэн репозиторт оруулалгүйгээр багцуудаа түгээхэд ашигладаг Arch User Repository (AUR)-ын багцуудын хяналтыг булаах туршилтын үр дүнг нийтэлжээ. Судлаачид PKGBUILD болон SRCINFO файлуудад жагсаасан хугацаа нь дууссан домэйнуудыг шалгадаг скрипт боловсруулсан. Энэ скриптийг ажиллуулснаар тэд файл татаж авахад зориулж 20 багцад ашигласан хугацаа нь дууссан 14 домэйныг тодорхойлсон.
Энгийн домэйн бүртгэл Энэ нь багцын хууран мэхлэлтэд хангалтгүй, учир нь татаж авсан контент нь AUR-д аль хэдийн байршуулсан шалгах нийлбэртэй тулгардаг. Гэсэн хэдий ч AUR дахь багцын ойролцоогоор 35%-ийн засварчид PKGBUILD файл дахь "SKIP" параметрийг ашиглан шалгах нийлбэрийн баталгаажуулалтыг тойрч гардаг болох нь тогтоогджээ (жишээлбэл, sha256sums=('SKIP') гэж тодорхойлсноор). Хугацаа нь дууссан домэйнтой 20 багцын 4-т нь SKIP параметрийг ашигласан.
Халдлагын хэрэгжих боломжтойг харуулахын тулд судлаачид чекийн дүнг баталгаажуулаагүй багцын домэйныг худалдаж авч, код болон өөрчлөгдсөн суулгах скрипт агуулсан архивыг байрлуулсан. Бодит агуулгын оронд скриптийг гуравдагч талын кодыг ажиллуулах талаар анхааруулга харуулахаар өөрчилсөн. Багцыг суулгахыг оролдоход өөрчлөгдсөн файлуудыг татаж авсан бөгөөд чекийн дүнг баталгаажуулаагүй тул туршилт хийгчдийн нэмсэн кодыг амжилттай суулгаж, гүйцэтгэсэн.
Кодтой домэйнүүдийн хугацаа дууссан багцууд:
- firefox-vacuum
- gvim-checkpath
- дарс-пикси2
- xcursor-theme-wii
- гэрлийн бүсгүй
- scalafmt-уугуул
- coolq-pro-bin
- gmedit-bin
- мезен-с-бин
- polly-b-gone
- эрвиз
- тотд
- kygekteampmp4
- servicewall-git
- сахиус мл-хогийн сав
- etherdump
- нойрны сав
- iscfpc
- iscfpc-aarch64
- iscfpcx
Эх сурвалж: opennet.ru
