Опубликованы результаты эксперимента по захвату контроля над пакетами в репозитории AUR (Arch User Repository), применяемом для распространения сторонними разработчиками своих пакетов без включения в основные репозитории дистрибутива Arch Linux. Исследователи подготовили скрипт, проверяющий истечение регистрации доменов, фигурирующих в файлах PKGBUILD и SRCINFO. В ходе запуска данного скрипта было выявлено 14 просроченных домена, используемых в 20 пакетах для загрузки файлов.
enkel domeneregistrering Dette er ikke tilstrekkelig for pakkeforfalskning, ettersom det nedlastede innholdet verifiseres mot sjekksummen som allerede er lastet opp til AUR. Det viste seg imidlertid at vedlikeholdere av omtrent 35 % av pakkene i AUR bruker "SKIP"-parameteren i PKGBUILD-filen for å omgå sjekksumverifisering (for eksempel ved å spesifisere sha256sums=('SKIP')). Av de 20 pakkene med utløpte domener ble SKIP-parameteren brukt i 4.
For å demonstrere angrepets gjennomførbarhet kjøpte forskerne domenet til en pakke som ikke bekreftet sjekksummer og som var vert for et arkiv som inneholdt koden og et modifisert installasjonsskript. I stedet for det faktiske innholdet ble skriptet endret for å vise en advarsel om kjøring av tredjepartskode. Forsøk på å installere pakken resulterte i nedlasting av de modifiserte filene, og siden sjekksummen ikke ble bekreftet, ble koden som ble lagt til av eksperimentatorene vellykket installert og utført.
Pakker der domener med koder har utløpt:
- firefox-støvsuger
- gvim-sjekksti
- vin-pixi2
- xcursor-tema-wii
- lyssonefri
- scalafmt-native
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- Polly-B-borte
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- lurbøtte
- iscfpc
- iscfpc-aarch64
- iscfpcx
Kilde: opennet.ru
