Ġew ippubblikati r-riżultati ta 'esperiment dwar il-qbid tal-kontroll tal-pakketti fir-repożitorju AUR (Arch User Repository), użat għad-distribuzzjoni minn żviluppaturi ta' partijiet terzi tal-pakketti tagħhom mingħajr inklużjoni fir-repożitorji ewlenin tad-distribuzzjoni Arch Linux. Ir-riċerkaturi ħejjew skript li jiċċekkja l-iskadenza tar-reġistrazzjonijiet tad-dominju li jidhru fil-fajls PKGBUILD u SRCINFO. Meta tħaddem dan l-iskript, ġew identifikati 14-il dominju skadut, użati f'20 pakkett għat-tniżżil ta' fajls.
Sempliċement li tirreġistra dominju mhix biżżejjed biex tiffaċċa pakkett, peress li l-kontenut imniżżel huwa ċċekkjat mal-checksum diġà mgħobbija fl-AUR. Madankollu, jirriżulta li dawk li jżommu madwar 35% tal-pakketti fl-AUR jużaw il-parametru "SKIP" fil-fajl PKGBUILD biex jaqbżu l-verifika tas-checksum (pereżempju, speċifika sha256sums=('SKIP')). Mill-20 pakkett b'dominji skaduti, il-parametru SKIP intuża f'4.
Biex juru l-possibbiltà li jwettaq attakk, ir-riċerkaturi xtraw id-dominju ta 'wieħed mill-pakketti li ma jiċċekkjax checksums u poġġew arkivju bil-kodiċi u skript ta' installazzjoni modifikat fuqu. Minflok il-kontenut attwali, messaġġ ta 'twissija dwar l-eżekuzzjoni ta' kodiċi ta 'parti terza ġie miżjud mal-iskript. Tentattiv biex jiġi installat il-pakkett wassal għat-tniżżil ta 'fajls sostitwiti u, peress li ċ-checksum ma kienx iċċekkjat, għall-installazzjoni b'suċċess u t-tnedija tal-kodiċi miżjud mill-esperimentaturi.
Pakketti li d-dominji tagħhom bil-kodiċi kienu skadew:
- firefox-vakwu
- gvim-checkpath
- inbid-pixi2
- xcursor-theme-wii
- bla żona tad-dawl
- scalafmt-nattivi
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-marret
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- nap-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Sors: opennet.ru