ஆர்ச் லினக்ஸ் விநியோகத்தின் முக்கிய களஞ்சியங்களில் சேர்க்கப்படாமல், மூன்றாம் தரப்பு டெவலப்பர்கள் தங்கள் பேக்கேஜ்களை விநியோகிப்பதற்காகப் பயன்படுத்தப்படும் AUR (ஆர்ச் யூசர் ரெபோசிட்டரி) களஞ்சியத்தில் உள்ள தொகுப்புகளின் கட்டுப்பாட்டைக் கைப்பற்றுவதற்கான பரிசோதனையின் முடிவுகள் வெளியிடப்பட்டுள்ளன. PKGBUILD மற்றும் SRCINFO கோப்புகளில் தோன்றும் டொமைன் பதிவுகளின் காலாவதியை சரிபார்க்கும் ஸ்கிரிப்டை ஆராய்ச்சியாளர்கள் தயாரித்துள்ளனர். இந்த ஸ்கிரிப்டை இயக்கும்போது, 14 காலாவதியான டொமைன்கள் அடையாளம் காணப்பட்டன, கோப்புகளைப் பதிவிறக்குவதற்கு 20 தொகுப்புகளில் பயன்படுத்தப்பட்டன.
ஒரு டொமைனைப் பதிவுசெய்வது ஒரு தொகுப்பை ஏமாற்றுவதற்குப் போதாது, ஏனெனில் பதிவிறக்கம் செய்யப்பட்ட உள்ளடக்கம் ஏற்கனவே AUR இல் ஏற்றப்பட்ட செக்சம்க்கு எதிராகச் சரிபார்க்கப்படுகிறது. இருப்பினும், AUR இல் உள்ள சுமார் 35% தொகுப்புகளின் பராமரிப்பாளர்கள் செக்சம் சரிபார்ப்பைத் தவிர்க்க PKGBUILD கோப்பில் உள்ள "SKIP" அளவுருவைப் பயன்படுத்துகின்றனர் (எடுத்துக்காட்டாக, sha256sums=('SKIP') என்பதைக் குறிப்பிடவும்). காலாவதியான களங்களைக் கொண்ட 20 பாக்கெட்டுகளில், SKIP அளவுரு 4 இல் பயன்படுத்தப்பட்டது.
தாக்குதலை நடத்துவதற்கான சாத்தியத்தை நிரூபிக்க, ஆய்வாளர்கள் செக்சம்களை சரிபார்க்காத தொகுப்புகளில் ஒன்றின் டொமைனை வாங்கி, குறியீடு மற்றும் மாற்றியமைக்கப்பட்ட நிறுவல் ஸ்கிரிப்டைக் கொண்ட ஒரு காப்பகத்தை வைத்தனர். உண்மையான உள்ளடக்கத்திற்குப் பதிலாக, மூன்றாம் தரப்பு குறியீட்டை செயல்படுத்துவது பற்றிய எச்சரிக்கை செய்தி ஸ்கிரிப்ட்டில் சேர்க்கப்பட்டது. தொகுப்பை நிறுவும் முயற்சியானது, மாற்று கோப்புகளை பதிவிறக்கம் செய்ய வழிவகுத்தது மற்றும் செக்சம் சரிபார்க்கப்படாததால், சோதனையாளர்களால் சேர்க்கப்பட்ட குறியீட்டை வெற்றிகரமாக நிறுவி துவக்கியது.
குறியீட்டைக் கொண்ட டொமைன்கள் காலாவதியான தொகுப்புகள்:
- firefox-வெற்றிடம்
- gvim-செக்பாத்
- ஒயின்-பிக்சி2
- xcursor-theme-wii
- ஒளி மண்டலம் இல்லாதது
- scalafmt-பூர்வீகம்
- coolq-pro-bin
- gmedit-bin
- mesen-s-பின்
- பாலி-பி-போனது
- erwiz
- totd
- kygekteampmmp4
- சேவைச்சுவர்-ஜிட்
- amuletml-பின்
- ஈதர்டம்ப்
- தூக்கத் தொட்டி
- iscfpc
- iscfpc-aarch64
- iscfpcx
ஆதாரம்: opennet.ru