Пользователей Arch Linux взламывают через Arch User Repository
Естественный отбор продолжает отсеивать фуфлыжные дистрибутивы. Сначала разработчики Linux Mint прославились кривыми руками, допустив взлом сайта и подмену ISO. Несколько недель назад в Gentoo злоумышленники подредактировали ebuild, который стал удалять содержимое диска. Теперь, вот, Arch.
В пользовательском репозитории AUR (Arch User Repository) обнаружены три пакета, содержащие зловредный код:
- Adobe PDF Reader — старый проприетарный читальщик PDF;
- Balz — упаковщик файлов;
- Miner Gate — ну какая же компьютерная зараза обойдется без майнеров.
Оказывается, в AUR есть статус пакетов orphaned — пакеты-сироты. Разработчики Arch решили, что будет отличной идеей разрешить любому желающему править код в этих пакетах, а затем этот код будут загружать и запускать остальные пользователи Arch. Просто прекрасная идея! Пользователь xeactor решил воспользоваться этой фичей и напихал в сиротинушек троянов.
Как была решена проблема? Пользователя забанили, а пострадавшим рекомендовали снести данные пакеты. Правда, это уже вряд ли поможет, так что пользователям предлагают вручную проверить свои системы на наличие остатков экскрементов каккера. Например, о работающем трояне может сигнализировать наличие файла /usr/lib/systemd/system/xeactor.timer. Разумеется, никаких выводов не сделано и возможность свободно править код, который потом будут запускать пользователи Arch, сохранена.
Arch. Любим. Помним. Скорбим.
Комментарии
Чингачгук
11 июля, 2018 - 21:57
Не удивлюсь, если в обозримом будущем в арче вместо репов останется только аур.
motorin
12 июля, 2018 - 14:12
С чего бы это? Назови хотя бы предпосылки и принципиальные причины это делать.
Чингачгук
13 июля, 2018 - 18:16
Как-то пробовал я перелезть на распиренную манжарку, и моему удивлению не было предела, когда в репах не оказалось банальных пакетов. пришлось тащить их из аура.
motorin
15 июля, 2018 - 17:49
Сейчас юзаю манджару. Таких проблем в явном виде не наблюдаю. А можно узнать точный список "банальных пакетов"? Самому даже интересно. Вот ведь какая редька в мире линуксов происходит: ежели разработчики начинают чудить, народ просто уходит на другие дистры. И бывшие лидеры становятся аутсайдерами. То же самое может произойти и с манджарой. Для себя уже давно сделал вывод: практически нет никакой разницы каким дистром пользоваться. Хоть Убунта, хоть Манджара, хоть Дебиан, хоть Арч, хоть Федора и т.д. В любом из них я умею эффективно работать и чувствую себя одинаково прекрасно потому, что всё это - Linux. Разница между ними не настоль существенна, как это кто-то хочет представить, выпячивая свой "любимый" дистр пупом Земли.
Михаил С
12 июля, 2018 - 16:25
Дык, что имеем в остатке? Какой дистрибутив ещё не скомпрометирован?
motorin
12 июля, 2018 - 17:51
У всех рыльце в пушку) Это нормально. Не ошибается тот, кто ничего не делает.
Чингачгук
12 июля, 2018 - 21:28
Ну так разработчики AUR сами разрешили такую возможность.Кроме того, AUR не является штатным хранилищем ArchLinux, это скорее - полигон для тестеров. Вообще, это только подтверждает основновное назначение ArchLinux : для творчества, разработок и профессионального роста программистов под Linux .
motorin
13 июля, 2018 - 03:47
Всё правильно! Разработчики искренне и честно предупреждают о возможной опасности, например, на wiki.manjaro.org красным цветом написано "Внимание: Используйте AUR на свой страх и риск! В случае проблем, вызванных установкой приложений из репозитория пользователей, команда Manjaro ничем не сможет вам помочь." У Арча тоже такая хреновина где-то прописана. Всё просто и понятно, информация общеизвестная. Основы функционирования AUR изучаются в детских садах. В чём проблема, камрады? О какой компрометации идёт речь?
Texnoline
13 июля, 2018 - 15:07
Земля ему пухом...(роллинги-изначальное зло)!
Чингачгук
24 июля, 2018 - 05:38
Чем меньше дистров тем хуже. Некоторые доброжелатели предлагают всем объединить усилия, создать один дистрибутив и одну фирму которая бы занималась его обслуживанием. А что бывает с фирмами мы знаем. Тем легче мелкомягким будет купить эту фирму. Сейчас линукс распределен и не имеет единого центра. Этот способ на сегодня единственно возможный чтобы бороться с мастдаем.
pomodor
24 июля, 2018 - 13:30
Чем больше дистров — тем хреновее каждый отдельный. Это же очевидно! Объем ресурсов на разработку = const. Чем больше дистров, тем ниже качество каждого отдельного.
Что касается покупки "фирмы". Для этого и создавалась лицензия GPL, чтобы ни одна фирма не могла прикарманить результаты работы всего сообщества. Фирма лопнет или продастся, появится другая фирма, которой не придется начинать всё с нуля.
Чингачгук
26 июля, 2018 - 06:58
Как будто это так просто заново начать новый проект, привлечь сообщество.
Пользователи тоже не будут ждать пока ты создашь новую фирму. Им придется остаться под крылышком мастдая. Так что идите в в баню со своими дурными советами.
pomodor
27 июля, 2018 - 13:47
Что-то мне подсказывает, что в бан пойдет кто-то другой. ;)
pomodor
27 июля, 2018 - 14:48
О, досточтимый сэр, вы решили вести дискуссию на быдланском? Ок, переключаюсь.
Что значит остаться? Я пользуюсь Убунтой. Если фирма скурвится, то сообщество сразу же форкнет дистрибутив. Неделя уйдет. Тупо взять и всё перекомпелировать, но уже без дилд.
Это тебе придется остаться. Я давно пользуюсь Линуксом. Не будет Убунты, перейду на Дебиан. Но еще 300 говнодистрибутивов — это явно перебор. Достаточно 3-5.
А что в этом непростого? Читай GPL, прежде чем рот открывать.
Местный дурачок
28 июля, 2018 - 04:18
И тебе тоже. У корпоративных юзеров налажены связи с фирмой обслуживающий данный конкретный дистрибутив. Они не станут бросаться менять его на другой, который еще к тому же неизвестно когда выйдет. Значит юзеры останутся со старым дистрибутивом купленным Майкрософт.
Сам читай что такое GPL Дистрибутивы обмениваются результатами и поэтому никакого распыления труда нет.
Защекан тут ты, да.
Чингачгук
27 июля, 2018 - 04:32
)))Автор статьи с таким причмокиванием перечисляет редкие фейлы опенсорса, а сколько из было у проприетарщины, надо бы для равновесия их тоже перечиcлить. Интересно сколько денег потеряли юзеры мастдая из-за его дырявости и червивости. Кто-нибудь считал? Ну конечно же нет, проприетарщики всегда невиноуаты, хотя деньги они согласны собирать. Статейки у вас какие-то поганые.
Сайт Пентагона взломали, к черту Пентагон. флэшплейер кривой - к черту Adobe))) Да пусть хоть упарятся взламывая сайты, сила опенсорса в распределённости. Я вот сейчас поставлю два разных дистра из миллиона вариантов, и пусть хацкеры Билли попробуют угадать какие у меня стоят дистрибутивы, чтобы взломать сразу оба в одно и то же время)) Благо линухи требуют очень мало места на диске вотличие от толстых мастдаев, набитых кривыми костылями по самое не хочу. А вы спрашиваете зачем нужен зоопарк, вот для таких случаев и нужен.
pomodor
27 июля, 2018 - 14:51
Я не фэйлы оупенсорса перечислял, а рассказал о конкретном случае, когда в безопасности конкретного дистрибутива есть конкретный изъян. А причмокивание ты перепутал со звуками своего защеканства. ;)
Texnoline
28 июля, 2018 - 17:33
Неделю меня не было, а тут уже гопота по защеканству угарает!:) Ужос, куда поколение 2000-х идет...мля!
Комментировать