夺取 AUR(Arch 用户存储库)存储库中软件包控制权的实验结果已经发布,该存储库用于由第三方开发人员分发其软件包,而不包含在 Arch Linux 发行版的主存储库中。 研究人员准备了一个脚本,用于检查 PKGBUILD 和 SRCINFO 文件中出现的域注册的过期情况。 运行此脚本时,识别出 14 个过期域,用于 20 个文件下载包。
仅仅注册域名不足以欺骗软件包,因为下载的内容是根据已加载到 AUR 中的校验和进行检查的。 然而,事实证明,AUR 中大约 35% 的软件包的维护者使用 PKGBUILD 文件中的“SKIP”参数来跳过校验和验证(例如,指定 sha256sums=('SKIP'))。 在 20 个具有过期域的数据包中,有 4 个数据包使用了 SKIP 参数。
为了证明进行攻击的可能性,研究人员购买了一个不检查校验和的软件包的域,并在其中放置了包含代码和修改后的安装脚本的存档。 脚本中添加了有关执行第三方代码的警告消息,而不是实际内容。 尝试安装该软件包会导致下载替换文件,并且由于未检查校验和,因此会成功安装并启动实验者添加的代码。
包含代码的域名已过期的软件包:
- 火狐真空
- gvim 检查路径
- Wine-pixi2
- xcursor-主题-wii
- 无光区
- Scalafmt 原生
- Coolq-Pro-bin
- gmedit-bin
- 梅森宾
- 波利 b 消失
- 埃尔维兹
- 托德
- kygekteampmmp4
- servicewall-git
- 护身符箱
- 以太转储
- 午睡箱
- 计算机网络
- iscfpc-aarch64
- 计算机软件
来源: opennet.ru