De resultaten van een experiment om de controle over pakketten in de AUR (Arch User Repository) over te nemen, een repository die door externe ontwikkelaars wordt gebruikt om hun pakketten te distribueren zonder ze op te nemen in de officiĆ«le Arch-distributierepositories, zijn gepubliceerd. LinuxOnderzoekers ontwikkelden een script dat controleert op verlopen domeinen die vermeld staan āāin PKGBUILD- en SRCINFO-bestanden. Door dit script uit te voeren, identificeerden ze 14 verlopen domeinen die werden gebruikt in 20 downloadpakketten.
eenvoudig domeinregistratie Dit is niet voldoende voor het vervalsen van pakketten, aangezien de gedownloade inhoud wordt gecontroleerd aan de hand van de checksum die al in de AUR is geĆ¼pload. Het bleek echter dat beheerders van ongeveer 35% van de pakketten in de AUR de parameter "SKIP" in het PKGBUILD-bestand gebruiken om de checksumverificatie te omzeilen (bijvoorbeeld door sha256sums=('SKIP') te specificeren). Van de 20 pakketten met verlopen domeinen werd de SKIP-parameter in 4 gebruikt.
Om aan te tonen dat de aanval mogelijk was, kochten de onderzoekers het domein van een van de pakketten dat geen controlesommen controleert en plaatsten hierop een archief met de code en een aangepast installatiescript. In plaats van de daadwerkelijke inhoud werd een waarschuwing over het uitvoeren van code van derden aan het script toegevoegd. Een poging om het pakket te installeren resulteerde in het downloaden van vervangende bestanden en, omdat de controlesom niet werd geverifieerd, in de succesvolle installatie en lancering van de door de experimentatoren toegevoegde code.
Pakketten, domeinen waarvan de codes verlopen zijn:
- Firefox stofzuiger
- gvim-controlepad
- wijn-pixi2
- xcursor-thema-wii
- lichtzone-vrij
- scalafmt-native
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- Polly-B-weg
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- slaapmand
- iscfpc
- iscfpc-aarch64
- iscfpcx
Bron: opennet.ru
