Пользователей Arch Linux взламывают через Arch User Repository

Естественный отбор продолжает отсеивать фуфлыжные дистрибутивы. Сначала разработчики Linux Mint прославились кривыми руками, допустив взлом сайта и подмену ISO. Несколько недель назад в Gentoo злоумышленники подредактировали ebuild, который стал удалять содержимое диска. Теперь, вот, Arch.

В пользовательском репозитории AUR (Arch User Repository) обнаружены три пакета, содержащие зловредный код:

  • Adobe PDF Reader — старый проприетарный читальщик PDF;
  • Balz — упаковщик файлов;
  • Miner Gate — ну какая же компьютерная зараза обойдется без майнеров.

Оказывается, в AUR есть статус пакетов orphaned — пакеты-сироты. Разработчики Arch решили, что будет отличной идеей разрешить любому желающему править код в этих пакетах, а затем этот код будут загружать и запускать остальные пользователи Arch. Просто прекрасная идея! Пользователь xeactor решил воспользоваться этой фичей и напихал в сиротинушек троянов.

Как была решена проблема? Пользователя забанили, а пострадавшим рекомендовали снести данные пакеты. Правда, это уже вряд ли поможет, так что пользователям предлагают вручную проверить свои системы на наличие остатков экскрементов каккера. Например, о работающем трояне может сигнализировать наличие файла /usr/lib/systemd/system/xeactor.timer. Разумеется, никаких выводов не сделано и возможность свободно править код, который потом будут запускать пользователи Arch, сохранена.

Редакция Либератума выражает свои искренние соболезнования пользователям Arch в связи с утратой. Усопший был нам хорошим другом и самоотверженно сражался с ламеризмом Mint, ROSA и т.п. Грустно узнавать, что AUR запилили тоже ламеры и для поциента это оказалось смертельным ударом.

Arch. Любим. Помним. Скорбим.

Ваша оценка: Нет Средняя оценка: 4.9 (8 votes)
a

Не удивлюсь, если в обозримом будущем в арче вместо репов останется только аур.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
1
motorin

С чего бы это? Назови хотя бы предпосылки и принципиальные причины это делать.

Ваша оценка: Нет
a

Как-то пробовал я перелезть на распиренную манжарку, и моему удивлению не было предела, когда в репах не оказалось банальных пакетов. пришлось тащить их из аура.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
1
motorin

Сейчас юзаю манджару. Таких проблем в явном виде не наблюдаю. А можно узнать точный список "банальных пакетов"? Самому даже интересно. Вот ведь какая редька в мире линуксов происходит: ежели разработчики начинают чудить, народ просто уходит на другие дистры. И бывшие лидеры становятся аутсайдерами. То же самое может произойти и с манджарой. Для себя уже давно сделал вывод: практически нет никакой разницы каким дистром пользоваться. Хоть Убунта, хоть Манджара, хоть Дебиан, хоть Арч, хоть Федора и т.д. В любом из них я умею эффективно работать и чувствую себя одинаково прекрасно потому, что всё это - Linux. Разница между ними не настоль существенна, как это кто-то хочет представить, выпячивая свой "любимый" дистр пупом Земли.

Ваша оценка: Нет
2
Михаил С

Дык, что имеем в остатке? Какой дистрибутив ещё не скомпрометирован?

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
1
motorin

У всех рыльце в пушку) Это нормально. Не ошибается тот, кто ничего не делает.

Ваша оценка: Нет
a

Ну так разработчики AUR сами разрешили такую возможность.Кроме того, AUR не является штатным хранилищем ArchLinux, это скорее - полигон для тестеров. Вообще, это только подтверждает основновное назначение ArchLinux : для творчества, разработок и профессионального роста программистов под Linux .

Ваша оценка: Нет
1
motorin

Всё правильно! Разработчики искренне и честно предупреждают о возможной опасности, например, на wiki.manjaro.org красным цветом написано "Внимание: Используйте AUR на свой страх и риск! В случае проблем, вызванных установкой приложений из репозитория пользователей, команда Manjaro ничем не сможет вам помочь." У Арча тоже такая хреновина где-то прописана. Всё просто и понятно, информация общеизвестная. Основы функционирования AUR изучаются в детских садах. В чём проблема, камрады? О какой компрометации идёт речь?

Ваша оценка: Нет
5
Texnoline

Земля ему пухом...(роллинги-изначальное зло)!

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
  • Индекс цитирования