Эксперимент по получению контроля над пакетами AUR

Новости непосредственно затрагивающие наш дистрибутив, либо форум.
Ответить
indeviral
Аватара пользователя
Сообщения: 176
Зарегистрирован: 15.08.2022

#

Опубликованы результаты эксперимента по захвату контроля над пакетами в репозитории AUR (Arch User Repository), применяемом для распространения сторонними разработчиками своих пакетов без включения в основные репозитории дистрибутива Arch Linux. Исследователи подготовили скрипт, проверяющий истечение регистрации доменов, фигурирующих в файлах PKGBUILD и SRCINFO. В ходе запуска данного скрипта было выявлено 14 просроченных домена, используемых в 20 пакетах для загрузки файлов.

Простой регистрации домена недостаточно для подмены пакета, так как загружаемое содержимое проверяется по уже загруженной в AUR контрольной сумме. Тем не менее, оказалось, что сопровождающие около 35% пакетов в AUR используют в файле PKGBUILD параметр "SKIP" для пропуска проверки контрольной суммы (например, указывают sha256sums=('SKIP')). Из 20 пакетов с просроченными доменами параметр SKIP использовался в 4.

Для демонстрации возможности совершения атаки исследователи купили домен одного из пакетов, не проверяющих контрольные суммы, и разместили на нём архив с кодом и изменённый сценарий установки. Вместо фактического содержимого в сценарий был добавлен вывод предупреждения о выполнении стороннего кода. Попытка установки пакета приводила к загрузке подменённых файлов и, так как контрольная сумма не проверялась, к успешной установке и запуску добавленного экспериментаторами кода.

Пакеты, домены с кодом для которых оказались просрочены:
Cкрытый текст
  • firefox-vacuum
    gvim-checkpath
    wine-pixi2
    xcursor-theme-wii
    lightzone-free
    scalafmt-native
    coolq-pro-bin
    gmedit-bin
    mesen-s-bin
    polly-b-gone
    erwiz
    totd
    kygekteampmmp4
    servicewall-git
    amuletml-bin
    etherdump
    nap-bin
    iscfpc
    iscfpc-aarch64
    iscfpcx

Ошибки в тексте-неповторимый стиль автора©

vall
Аватара пользователя
Администрация
Сообщения: 541
Зарегистрирован: 09.08.2022

#

Вижу в факте данного исследования прежде всего нарастающую популярность Arch Linux и дистрибутивов на его основе.

Что касается выявленных проблем, то в данном случае всё зависит от прокладки между клавиатурой и стулом. Ничего необычного. Всё как всегда.
Да, а в других дистрибутивах проблем нет? Не уверен. И ещё раз -- AUR это неофициальный репозиторий Arch Linux -- позволяющий значительно расширить возможность использования разнообразных пакетов пользователями. На их страх и риск.

Пара комментов в источнике.

1) "Сам писал PKGBUILD для себя, и что-то даже пушил в AUR. И я проверяю PKGBUILD используемых мной пакетов. Скорее из любопытства, чем из соображений безопасности.

Что касается бубунты, как не вспомнить PPA для того, чего нет в официальных репах. И пакеты со сторонних источников, собранных в OBS? И да, левые пакеты, собранные Васяном, это беда многих дистров. Вам никогда в чужих системах с RPM пакеты не из официальных реп не попадались? Launchpad PPA, OBS, репы левых энтузиастов вроде бразильской репы от фанов Fedora, Snap, Flatpack и куча подобного добра. Да когда пакет нужен вчера, и нубу, что не может сам опакетить софт, он установит что угодно и куда угодно по первой найденной им инструкции в интернете. Даже если инструкция начинается с вариантов вроде wget -O- <что-то там> | bash -, многие запустят это, даже не проверив, что там выполняет у них bash, зачастую ещё и запущенный от рута. Удобство vs безопасность — это извечный выбор, где в 99% всегда побеждает удобство.

Да даже на Mac OS X / Windows есть подобные "помойки", как вы говорите. И это нормально".



2) "То есть из всего AURа они нашли всего 20 пакетов, где skip исплользовался только в 4. Т.е. из ВСЕГО AURа атаке оказались подвержены всего 4 пакета? Не ну это конечно повод перестать пользоваться AURом, что тут сказать"
Ответить