Objavljeni so bili rezultati poskusa prevzema nadzora nad paketi v AUR (Arch User Repository), repozitoriju, ki ga razvijalci drugih proizvajalcev uporabljajo za distribucijo svojih paketov, ne da bi jih vključili v glavne repozitorije distribucije Arch. LinuxRaziskovalci so razvili skript, ki preverja domene s pretečenim rokom veljavnosti, navedene v datotekah PKGBUILD in SRCINFO. Z zagonom tega skripta so identificirali 14 domen s pretečenim rokom veljavnosti, uporabljenih v 20 paketih za prenos datotek.
Enostavno registracija domene To ni dovolj za ponarejanje paketov, saj se prenesena vsebina preverja glede na kontrolno vsoto, ki je bila že naložena v AUR. Vendar se je izkazalo, da vzdrževalci približno 35 % paketov v AUR uporabljajo parameter »SKIP« v datoteki PKGBUILD, da bi obšli preverjanje kontrolne vsote (na primer z določitvijo sha256sums=('SKIP')). Od 20 paketov s potečenimi domenami je bil parameter SKIP uporabljen v 4.
Da bi dokazali izvedljivost napada, so raziskovalci kupili domeno paketa, ki ni preverjal kontrolnih vsot, in gostili arhiv, ki je vseboval kodo in spremenjen namestitveni skript. Namesto dejanske vsebine je bil skript spremenjen tako, da je prikazoval opozorilo o izvajanju kode tretjih oseb. Poskus namestitve paketa je povzročil prenos spremenjenih datotek in ker kontrolna vsota ni bila preverjena, uspešno namestitev in izvedbo kode, ki so jo dodali eksperimentatorji.
Paketi, za katere so domene s kodami potekle:
- Firefox-vacuum
- gvim-checkpath
- vino-pixi2
- xcursor-theme-wii
- brez svetlobnih con
- scalafmt-izvorno
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-gone
- erwiz
- totd
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- etherdump
- zaboj za dremež
- iscfpc
- iscfpc-aarch64
- iscfpcx
Vir: opennet.ru
