Pe 7 iunie, un pachet a fost modificat in AUR cu un cod rau intentionat, amintind utilizatorilor Arch Linux (si utilizatorii de Linux , în general) ca toate pachetele generate de utilizator ar trebui sa fie verificate (daca este posibil) înainte de instalare.

AUR. Depozitului contine pachete, de asemenea , cunoscut sub numele de PKGBUILDs, ceea ce face compilarea pachetelor de la sursa mai usor. In timp ce aceste pachete sunt foarte utile, acestea nu ar trebui sa fie tratate ca sigure, iar utilizatorii trebuie sa verifice întotdeauna continutul lor înainte de a le utiliza, atunci când este posibil. 

Pachetul a fost modificata la 7 iunie (se pare ca a fost anterior „orfan“, ceea ce înseamna ca nu avea numele mentinatorului) de catre un utilizator numit „xeactor“ pentru a include o comanda de bucla care descarca un script de la un pastebin. Script - ul apoi descarcat si instala un alt script o unitate systemd pentru a rula acel script periodic. 

Se pare ca alte doua pachete au fost modificate în AUR in acelasi mod. Toate pachetele ofensatoare au fost eliminate , iar contul de utilizator, care a fost folosit pentru a le încarca a fost suspendat. 

Codul rau intentionat nu a facut nimic cu adevarat daunator - a încercat doar sa încarce unele informatii de sistem, cum ar fi ID - ul masinii, uname -a (care include versiunea de nucleu, arhitectura, etc), informatii CPU,  informatii Pacman, systemctl list-units (care listeaza informatii unitati systemd) la Pastebin.com. Spun ca „ a încercat“ , deoarece nici o informatie de sistem nu a fost de fapt încarcata din cauza unei erori în al doilea scenariu (functia de încarcare se numeste „upload“, dar script - ul a încercat, folosind un alt nume, „Uploader“). 

Scopul încercarii de a încarca aceste informatii pentru din Pastebin nu este clar, mai ales ca date mai sensibile ar fi putut fi încarcate, cum ar fi cheile / SSH GPG. 

Ce anume ar trebui sa verificati în pachete generate de utilizatori , cum ar fi cele gasite în AUR? Acest lucru variaza si nu va pot spune exact , dar puteti începe prin cautarea a ceva care încearca sa descarce ceva folosind curl, wget si alte instrumente similare, si a vedea exact ceea ce incearca sa descarce. De asemenea , verificati serverul de la care sursa de pachet este descarcat si asigurati - va ca este sursa oficiala. 

Din pacate , acest lucru nu este o „stiinta“ exacta. Pentru Launchpad PPA , de exemplu, lucrurile devin mai complicate asa cum trebuie sa stiti cum functioneaza ambalarea Debian, iar sursa poate fi modificata direct , asa cum este gazduita în AAP si încarcata de catre utilizator. Ca o solutie generica, cred ca ar trebui sa instalati numai pachetele generate de utilizatorI in aveti încredere. 

Arch Linux - Timenews Cititi mai multe stiri/noutati despre Arch Linux aici ...

  • Care este reactia ta?
  • 1 Votes
  • powered by Verysign
  • like Timenews
    Like
  • unmoved Timenews
    unmoved
  • amused Timenews
    amused
  • excited Timenews
    excited
  • 100% angry Timenews
    angry
  • sad Timenews
    sad
TENDINTA  |  Kali Linux 2019.1 Release
FlorinM                   Timenews
FlorinM
Utilizator Linux - Solus OS, pasionat de calatorii.
1161 articole



  • Comenteaza
  • 2 comentarii
  • powered by Verysign

zoly zee Timenews
zoly zee7 months, 13 days
oricum de remarcat diferenta.... (de altfel pe care o tot spune R.Stallman) pe sistemele deschise imediat vor fi avizati cel putin creatorii pachetului de modificarile aduse.... nu trebuie sa astepte vre-un antivirus care sa-si dea seama dupa 1 milion de pc infectate ca e ceva in neregula...iar reactia este imediata ...asa cum a fost si zilele trecute pe github cu gentoo-ul

Damian Nik Timenews
Damian Nik7 months, 12 days
Mersi, nu pare sa fie grav, mai grav a fost la Gentoo, recent .

Gabriel Ruta - Facebook
Gabriel Ruta - Facebook

MX Linux. Il folosesc deja de un an jumate, si pot spune ca pt. mine personal este No.1 Distro din cate zeci am testat in anii trecuti. L-am folosi...12 days, 1 hour

MX Linux 18.1 - improspatare ISO MX Linux 18.1 - improspatare ISO >>>
Stefan
Stefan

Salut,

Ati gresit imaginea ISO, re-downloadati imaginea 1.5.2 daca tot aceea ati scos-o, si aveti grija ce downloadati data viitoare

Re...16 days, 22 hours

Moderator
Moderator
Remediat. Multumim.
Redcore.Linux.Hardened.1812.KDE vs Argent.Workstation.1.5.2.KDE Redcore.Linux.Hardened.1812.KDE vs Argent.Workstation.1.5.2.KDE >>>
Victor
Victor

Interesant ... Îmi place ideea! 
Dar oricine vede inspiratia pe care Casper a luat-o de la lampa Philips Hue, precum si unele dintr...24 days, 9 hours

Casper Glow - lumina de noapte, ce va va ajuta sa adormiti Casper Glow - lumina de noapte, ce va va ajuta sa adormiti >>>
Alex Petrini - Facebook
Alex Petrini - Facebook

da, dar e coporate mai mult. Eu folosesc Rambox si îti poti defini orice serviciu singur. 

1 month, 4 days
Station in Linux - 600 de aplicatii intr-o singura interfata eleganta Station in Linux - 600 de aplicatii intr-o singura interfata eleganta >>>