Пользователей Arch Linux взламывают через Arch User Repository

Естественный отбор продолжает отсеивать фуфлыжные дистрибутивы. Сначала разработчики Linux Mint прославились кривыми руками, допустив взлом сайта и подмену ISO. Несколько недель назад в Gentoo злоумышленники подредактировали ebuild, который стал удалять содержимое диска. Теперь, вот, Arch.

В пользовательском репозитории AUR (Arch User Repository) обнаружены три пакета, содержащие зловредный код:

  • Adobe PDF Reader — старый проприетарный читальщик PDF;
  • Balz — упаковщик файлов;
  • Miner Gate — ну какая же компьютерная зараза обойдется без майнеров.

Оказывается, в AUR есть статус пакетов orphaned — пакеты-сироты. Разработчики Arch решили, что будет отличной идеей разрешить любому желающему править код в этих пакетах, а затем этот код будут загружать и запускать остальные пользователи Arch. Просто прекрасная идея! Пользователь xeactor решил воспользоваться этой фичей и напихал в сиротинушек троянов.

Как была решена проблема? Пользователя забанили, а пострадавшим рекомендовали снести данные пакеты. Правда, это уже вряд ли поможет, так что пользователям предлагают вручную проверить свои системы на наличие остатков экскрементов каккера. Например, о работающем трояне может сигнализировать наличие файла /usr/lib/systemd/system/xeactor.timer. Разумеется, никаких выводов не сделано и возможность свободно править код, который потом будут запускать пользователи Arch, сохранена.

Редакция Либератума выражает свои искренние соболезнования пользователям Arch в связи с утратой. Усопший был нам хорошим другом и самоотверженно сражался с ламеризмом Mint, ROSA и т.п. Грустно узнавать, что AUR запилили тоже ламеры и для поциента это оказалось смертельным ударом.

Arch. Любим. Помним. Скорбим.

Ваша оценка: Нет Средняя оценка: 4.9 (8 votes)
a

Не удивлюсь, если в обозримом будущем в арче вместо репов останется только аур.

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
1
motorin

С чего бы это? Назови хотя бы предпосылки и принципиальные причины это делать.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
a

Как-то пробовал я перелезть на распиренную манжарку, и моему удивлению не было предела, когда в репах не оказалось банальных пакетов. пришлось тащить их из аура.

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
1
motorin

Сейчас юзаю манджару. Таких проблем в явном виде не наблюдаю. А можно узнать точный список "банальных пакетов"? Самому даже интересно. Вот ведь какая редька в мире линуксов происходит: ежели разработчики начинают чудить, народ просто уходит на другие дистры. И бывшие лидеры становятся аутсайдерами. То же самое может произойти и с манджарой. Для себя уже давно сделал вывод: практически нет никакой разницы каким дистром пользоваться. Хоть Убунта, хоть Манджара, хоть Дебиан, хоть Арч, хоть Федора и т.д. В любом из них я умею эффективно работать и чувствую себя одинаково прекрасно потому, что всё это - Linux. Разница между ними не настоль существенна, как это кто-то хочет представить, выпячивая свой "любимый" дистр пупом Земли.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
2
Михаил С

Дык, что имеем в остатке? Какой дистрибутив ещё не скомпрометирован?

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
1
motorin

У всех рыльце в пушку) Это нормально. Не ошибается тот, кто ничего не делает.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
a

Ну так разработчики AUR сами разрешили такую возможность.Кроме того, AUR не является штатным хранилищем ArchLinux, это скорее - полигон для тестеров. Вообще, это только подтверждает основновное назначение ArchLinux : для творчества, разработок и профессионального роста программистов под Linux .

Ваша оценка: Нет
1
motorin

Всё правильно! Разработчики искренне и честно предупреждают о возможной опасности, например, на wiki.manjaro.org красным цветом написано "Внимание: Используйте AUR на свой страх и риск! В случае проблем, вызванных установкой приложений из репозитория пользователей, команда Manjaro ничем не сможет вам помочь." У Арча тоже такая хреновина где-то прописана. Всё просто и понятно, информация общеизвестная. Основы функционирования AUR изучаются в детских садах. В чём проблема, камрады? О какой компрометации идёт речь?

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
5
Texnoline

Земля ему пухом...(роллинги-изначальное зло)!

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
a

Чем меньше дистров тем хуже. Некоторые доброжелатели предлагают всем объединить усилия, создать один дистрибутив и одну фирму которая бы занималась его обслуживанием. А что бывает с фирмами мы знаем. Тем легче мелкомягким будет купить эту фирму. Сейчас линукс распределен и не имеет единого центра. Этот способ на сегодня единственно возможный чтобы бороться с мастдаем.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
10
pomodor

Чем больше дистров — тем хреновее каждый отдельный. Это же очевидно! Объем ресурсов на разработку = const. Чем больше дистров, тем ниже качество каждого отдельного.

Что касается покупки "фирмы". Для этого и создавалась лицензия GPL, чтобы ни одна фирма не могла прикарманить результаты работы всего сообщества. Фирма лопнет или продастся, появится другая фирма, которой не придется начинать всё с нуля.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
a

Как будто это так просто заново начать новый проект, привлечь сообщество.
Пользователи тоже не будут ждать пока ты создашь новую фирму. Им придется остаться под крылышком мастдая. Так что идите в в баню со своими дурными советами.

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
10
pomodor

Что-то мне подсказывает, что в бан пойдет кто-то другой. ;)

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
10
pomodor

Так что идите в в баню со своими дурными советами.

О, досточтимый сэр, вы решили вести дискуссию на быдланском? Ок, переключаюсь.

Пользователи тоже не будут ждать пока ты создашь новую фирму.

Что значит остаться? Я пользуюсь Убунтой. Если фирма скурвится, то сообщество сразу же форкнет дистрибутив. Неделя уйдет. Тупо взять и всё перекомпелировать, но уже без дилд.

Им придется остаться под крылышком мастдая.

Это тебе придется остаться. Я давно пользуюсь Линуксом. Не будет Убунты, перейду на Дебиан. Но еще 300 говнодистрибутивов — это явно перебор. Достаточно 3-5.

Как будто это так просто заново начать новый проект

А что в этом непростого? Читай GPL, прежде чем рот открывать.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
2

И тебе тоже. У корпоративных юзеров налажены связи с фирмой обслуживающий данный конкретный дистрибутив. Они не станут бросаться менять его на другой, который еще к тому же неизвестно когда выйдет. Значит юзеры останутся со старым дистрибутивом купленным Майкрософт.
Сам читай что такое GPL Дистрибутивы обмениваются результатами и поэтому никакого распыления труда нет.
Защекан тут ты, да.

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
a

)))Автор статьи с таким причмокиванием перечисляет редкие фейлы опенсорса, а сколько из было у проприетарщины, надо бы для равновесия их тоже перечиcлить. Интересно сколько денег потеряли юзеры мастдая из-за его дырявости и червивости. Кто-нибудь считал? Ну конечно же нет, проприетарщики всегда невиноуаты, хотя деньги они согласны собирать. Статейки у вас какие-то поганые.
Сайт Пентагона взломали, к черту Пентагон. флэшплейер кривой - к черту Adobe))) Да пусть хоть упарятся взламывая сайты, сила опенсорса в распределённости. Я вот сейчас поставлю два разных дистра из миллиона вариантов, и пусть хацкеры Билли попробуют угадать какие у меня стоят дистрибутивы, чтобы взломать сразу оба в одно и то же время)) Благо линухи требуют очень мало места на диске вотличие от толстых мастдаев, набитых кривыми костылями по самое не хочу. А вы спрашиваете зачем нужен зоопарк, вот для таких случаев и нужен.

Ваша оценка: Нет Средняя оценка: 3 (2 votes)
10
pomodor

Автор статьи с таким причмокиванием перечисляет редкие фейлы опенсорса

Я не фэйлы оупенсорса перечислял, а рассказал о конкретном случае, когда в безопасности конкретного дистрибутива есть конкретный изъян. А причмокивание ты перепутал со звуками своего защеканства. ;)

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
5
Texnoline

Неделю меня не было, а тут уже гопота по защеканству угарает!:) Ужос, куда поколение 2000-х идет...мля!

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
  • Индекс цитирования