Resultaten av ett experiment för att ta kontroll över paket i AUR-förvaret (Arch User Repository), som används av tredjepartsutvecklare för att distribuera sina paket utan att inkluderas i huvudförrådet för Arch Linux-distributionen, har publicerats. Forskarna förberedde ett skript som kontrollerar utgången av registreringen av domäner som visas i PKGBUILD- och SRCINFO-filerna. Att köra detta skript identifierade 14 utgångna domäner som används i 20 filuppladdningspaket.
Att bara registrera en domän räcker inte för att förfalska paketet, eftersom det nedladdade innehållet kontrolleras mot kontrollsumman som redan laddats upp i AUR. Emellertid verkar cirka 35 % av paketen i AUR använda parametern "SKIP" i PKGBUILD-filen för att hoppa över kontrollsumman (ange till exempel sha256sums=('SKIP')). Av de 20 paketen med utgångna domäner användes SKIP-parametern i 4.
För att demonstrera möjligheten att begå en attack köpte forskarna domänen till ett av paketen som inte kontrollerar kontrollsummor och placerade ett arkiv med koden och ett modifierat installationsskript på. Istället för det faktiska innehållet har en varning om exekvering av tredjepartskod lagts till i skriptet. Ett försök att installera paketet ledde till nedladdning av falska filer och, eftersom kontrollsumman inte kontrollerades, till framgångsrik installation och lansering av koden som lagts till av experimentörerna.
Paket med utgångna domäner:
- firefox-vakuum
- gvim-checkpath
- vin-pixi2
- xcursor-theme-wii
- ljuszonsfri
- scalafmt-infödd
- coolq-pro-bin
- gmedit-bin
- mesen-s-bin
- polly-b-borta
- erwiz
- todd
- kygekkampmmp4
- servicewall-git
- amuletml-bin
- eterdump
- tupplur-bin
- iscfpc
- iscfpc-aarch64
- iscfpcx
Källa: opennet.ru