Keputusan eksperimen untuk merampas kawalan ke atas pakej dalam AUR (Arch User Repository), sebuah repositori yang digunakan oleh pembangun pihak ketiga untuk mengedarkan pakej mereka tanpa memasukkannya ke dalam repositori pengedaran Arch utama, telah diterbitkan. LinuxPenyelidik telah membangunkan skrip yang menyemak domain yang telah tamat tempoh yang disenaraikan dalam fail PKGBUILD dan SRCINFO. Dengan menjalankan skrip ini, mereka mengenal pasti 14 domain yang telah tamat tempoh yang digunakan dalam 20 pakej muat turun fail.
Простой pendaftaran domain Ini tidak mencukupi untuk pemalsuan pakej, kerana kandungan yang dimuat turun disahkan terhadap checksum yang telah dimuat naik ke AUR. Walau bagaimanapun, ternyata penyelenggara kira-kira 35% pakej dalam AUR menggunakan parameter "SKIP" dalam fail PKGBUILD untuk memintas pengesahan checksum (contohnya, dengan menyatakan sha256sums=('SKIP')). Daripada 20 pakej dengan domain yang telah tamat tempoh, parameter SKIP telah digunakan dalam 4.
Untuk menunjukkan kemungkinan melakukan serangan, penyelidik membeli domain salah satu pakej yang tidak menyemak jumlah semak, dan meletakkan arkib dengan kod dan skrip pemasangan yang diubah suai padanya. Daripada kandungan sebenar, amaran tentang pelaksanaan kod pihak ketiga telah ditambahkan pada skrip. Percubaan untuk memasang pakej membawa kepada muat turun fail palsu dan, memandangkan jumlah semak tidak disemak, kepada pemasangan dan pelancaran kod yang berjaya ditambahkan oleh penguji.
Pakej dengan domain tamat tempoh:
- firefox-vakum
- gvim-checkpath
- wain-pixi2
- xcursor-theme-wii
- bebas zon cahaya
- scalafmt-asli
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-pergi
- erwiz
- todd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Sumber: opennet.ru
