Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
Сообщение от opennews (ok), 15-Июн-26, 20:58
Проект Arch Linux приостановил регистрацию новых учётных записей в репозитории AUR (Arch User Repository) из-за непрекращающейся активности по подстановке вредоносного кода в пакеты и вандализма . После первой массовой атаки разработчики Arch Linux попытались защититься от проблемы через выборочные фильтры, но атакующие обошли их через замену npm на bun и обфускацию вызова своего кода в функции post_install. Возможность регистрации будет возвращена после реализации более действенной защиты... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65691
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+6 +/–
Сообщение от Ivan_83 (ok), 15-Июн-26, 20:58
По паспорту давать коммитить, и хату в залог пусть оставляют, если зловреда захотят закомитить - хата отойдёт проекту :)
Ответить | Правка | Наверх | Cообщить модератору

	4. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (4), 15-Июн-26, 21:12
	А почему нельзя бесхозные пакеты просто заморозить без возможности восстановления доступа?
	Ответить | Правка | Наверх | Cообщить модератору

	7. Скрыто модератором	+/–
	Сообщение от Аноним (7), 15-Июн-26, 21:16
	А если найдётся желающий сопровождать?
	Ответить | Правка | Наверх | Cообщить модератору

	6. Скрыто модератором	–1 +/–
	Сообщение от Аноним (6), 15-Июн-26, 21:16
	На самом деле, им там все правильно мужик писал. Не юзать этот дистр, или, как минимум, аур.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	14. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (14), 15-Июн-26, 21:53
	> По паспорту давать коммитить Ты вот шутишь, а в коммерческой разработке по сути так и присходит испокон веков. Прежде чем васян с улицы закомитит в условный macOS, ему придется пройти многоступенчатый процесс фильтрации и найма, с проверками адекватности и компетенции, с заключанием контракта и т.п. А тут прямо опенсорсное бинго: одни васяны сделали помойку, держащуюся на честном слове, другие васяны в нее гадят, а третьи из нее уплетают за обе щеки, не глядя.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	18. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (18), 15-Июн-26, 22:15
	> проверками адекватности а индусячий код за 3 копейки, это как так вышло? > А тут прямо опенсорсное бинго в городе общественным местом считается абсолютно все, что не является чьейто частной территорией, покрай мере именно за нарушение общественного порядка тебя привлекут если тебе вздумается где-то, кроме своей спальни устроить пефоманс, но даже в твоей собственной спальне есть ограничения, например, громкость твоих ночьных пефомансов. можешь попробовать поехать в антарктиду и попытаться там устроить чтото общественно опасное, если будешь пингвинам рассказывать про 4й рейх и агетировать, то наверное на это закроют глаза, а вот если начнешь создавать биологическое оружие, то статью найдут.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (14), 15-Июн-26, 22:18
	>> проверками адекватности > а индусячий код за 3 копейки, это как так вышло? А что тут неадекватного? Потому и индусячий, что за 3 копейки.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (18), 15-Июн-26, 22:35
	обьясняю, компания обязана по закону соблюдать правила, например хранить продукты в холодильнике, иначе она ничем не отличается от бабки агафьи которая по ночам потрошит крыс и продает днем беляши. в части it правил для компаний не так уж много, да - еще пока it-шницы бабками не стали, но осталось не так много времени, и мы видим как гос-ва все дружно бросились регулировать, то что само работало. потому что часики тикают, а мозги стареют и деградируют, и никакие сроки и штрафы сьеденого беляша не отменят.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
Сообщение от Аноним (2), 15-Июн-26, 21:09
> В репозитории насчитывается 141967 зарегистрированных пользователей и 69 сопровождающих пакеты (в предыдущую неделю было 140949 пользователей и 69 сопровождающих). Это что за левые цифры? repology показывает там 21k мантейнеров.
Ответить | Правка | Наверх | Cообщить модератору

	13. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от 12yoexpert (ok), 15-Июн-26, 21:47
	ты бы ещё на заборе прочитал
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (2), 15-Июн-26, 22:02
	На заборе написано в новости. Repology считает честных мантейнеров по пакетам.
	Ответить | Правка | Наверх | Cообщить модератору

3. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+4 +/–
Сообщение от Аноним (3), 15-Июн-26, 21:10
>Для захвата пакетов атакующие использовали предоставляемую в AUR возможность принимать сопровождение над пакетам, оставшихся без сопровождающих и имеющих статус "orphaned". Подобная возможность предоставлялась без ограничений и проверок любому желающему. Может стоит отключить возможность каждому брать контроль над сопровождением заброшенного пакета, который может просто заваляться в системе пользователя и обновиться, принеся такую радость в дом? Почему вообще по всей логике если кто то хочет начать сопровождение пакета, он не обязан создавать отдельный форк и пускай его пользователи сами проверяют и устанавивают по новой? Что за глупейший вектор атаки, вот после такого внатуре пойдешь к красношляпникам собирать пакеты.
Ответить | Правка | Наверх | Cообщить модератору

	10. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (14), 15-Июн-26, 21:32
	> Что за глупейший вектор атаки, вот после такого внатуре пойдешь к красношляпникам собирать пакеты. Ну так все by design, разве нет? Написано же "DISCLAIMER: AUR packages are user produced content. Any use of the provided files is at your own risk. " Как-то странно загружать и запускать на своей машине баш-портянки от левых васянов - и при этом петь про какие-то "вектора атаки". В том же Ubuntu PPA и загружаемый исходный код, и собранные из него пакеты для пользователей подписаны PGP. Что мешало ауропомойке сделать также - загадка.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (15), 15-Июн-26, 21:57
	>подписаны PGP Не проблема вообще. Ключики для PGP можно и заменить. Обновление сломается, а вот если кто заново захочет добавить, то у него ничего и не пикнет.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (14), 15-Июн-26, 22:08
	> Обновление сломается В этом как бы и смысл, что пакеты от нового васяна не будут ставиться моча.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (14), 15-Июн-26, 22:20
	* молча
	Ответить | Правка | Наверх | Cообщить модератору

5. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
Сообщение от Аноним (4), 15-Июн-26, 21:13
> возможность предоставлялась без ограничений и проверок любому желающему Сами сделали - сами расплачиваются.
Ответить | Правка | Наверх | Cообщить модератору

	9. "Arch Linux отключил регистрацию новых учётных записей в AUR"	–3 +/–
	Сообщение от Аноним (9), 15-Июн-26, 21:23
	Судя по описанию, подобные "возможности" часто в последнее время предоставляются пользователям ядра Linux
	Ответить | Правка | Наверх | Cообщить модератору

8. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+1 +/–
Сообщение от Аноним (14), 15-Июн-26, 21:23
> Подобная возможность предоставлялась без ограничений и проверок любому желающему. ...но что-то пошло не по плану? 😂 Действительно, что может случиться, если давать любому васяну доступ к баш-портянкам, которые тысячи арчеводов запускают не глядя, и даже не предупреждать этих арчеводов о смене маинтайнера? 🤔 > После первой массовой атаки разработчики Arch Linux попытались защититься от проблемы через выборочные фильтры, но атакующие обошли их через замену npm на bun и обфускацию вызова своего кода в функции post_install. Баш-портянщики против JS-портянщиков! Эта битва будет легендарной! 🤣 Пока что счет 0:3.
Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором	+/–
Сообщение от Аноним (11), 15-Июн-26, 21:44
Любая с-нья может г-дить в открытом подъезде.
Ответить | Правка | Наверх | Cообщить модератору

12. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
Сообщение от Аноним (11), 15-Июн-26, 21:45
Любая c-нья может г-дuть в открытом пoдъeзде.
Ответить | Правка | Наверх | Cообщить модератору

	21. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (18), 15-Июн-26, 22:24
	нууу, безногая не может, для нее открытый и закрытый это одно и тоже, у любой с-и есть ключи от подьезда, хотябы от одного, и запирать все подьезды от всех других, сомнительное решение. общественное порицание, многие годы и тысячелетия было решением проблемы, не идеальным, но случаи разные бывают.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема