Vlákno názorů k článku
V repozitáři AUR pro Arch Linux byly nalezeny tři balíčky s malware
od Miroslav Šilhavý - Dobré je, že se na podobné problémy dá...
-
Dobré je, že se na podobné problémy dá přijít velmi rychle.
Blbé je, že je jen hodně málo způsobů prevence a ty jsou nákladné.To, že Linux a jeho balíčky nepoužívá tak velké množství lidí na planetě, nijak neumenšuje závažnost takové hrozby. Až budou linux používat lidé více, bude mít stejná hrozba daleko závažnější důsledky.
Infikace balíčků zdaleka nepostihuje jen linux.
-
Nič neukradol (neregistrovaný)
V prípade AUR tá prevencia je veľmi jednoduchá a lacná. Stačí dodržiavať odporúčania, že PKGBUILD pred inštaláciou treba skontrolovať. A nenechávať to všetko napríklad na --noconfirm, ktorý robí presne to, ako vyznieva.
A aj kvôli tomu, že to niekto dodržiava, sa na to prišlo tak rýchlo. V priebehu niekoľkých hodín. -
Nič neukradol (neregistrovaný)
Problém je, že AUR je užívateľský repozitár, nie distribučný (nejedná sa o oficiálny repozitár či kanál). To, že sa pomocou hlasovania z neho dajú premiestniť balíčky do oficiálnych repozitárov, ešte z neho ten oficiálny repozitár nerobí.
Jediná prevencia, ktorá je v tomto prípade možná, je detailné lustrovanie potencionálnych maintainerov. Ale ani to nezabezpečí, že nebudú mať žiadne nekalé úmysly.
Takže dúfam, že konečne viete, čo mám na mysli. Prevencia akú si predstavuje v tak obrovskom rozsahu... -
KateStříbrný podporovatel
Ano, snažím se říct že se nejedná o repozitář v klasickém smyslu: Nemohu ho připsat do sources a začít z něj instalovat, je to jen repo předpisů na ubalení balíčků.
-
KateStříbrný podporovatel
Aur není distribuční kanál. Aur je seznam receptů pro ubalení balíčků, které distribuce nijak předem nekontroluje. Úplně stejně nebezpečné je stáhnout si jakýkoliv nepodepsaný software pro Windows, který není ve store. Takže drtivou většinu…
-
AUR používají distribuce postavené na Archem jako rozšířené repo. Při instalaci se to ptá, jestli chcete AUR připojit nebo ne. Pokud dáte ano, stará se o vše GUI pro SW update. Má to tak třeba Antergos a zřejmě i jiné "předpřipravené " Arch Linuxy. Ofiko repo to samozřejmě není a platí i to, že pokud balíček je v AUR i oficiálním repo, je lepší přejít na oficiální.
-
xyz (neregistrovaný)
Nejlepší prevence je open source a to tady zafungovalo, chyba se objevila relativně rychle (v řádu hodin/dní, záškodný commit je ze 7.7.) a dotčené balíky se stáhly. Nevím jak to mají ošéfované obchody s proprietárním sw jako např. Google play nebo store od Microsoftu, dokážu si představit že pokud by se vám podařilo sem dostat záškodný kus kódu, tak ho uživatelé budou vesele používat týdny i měsíce a odhalení bude v podstatě náhoda.
-
Nič neukradol (neregistrovaný)
Inak ten balíček nebol infikovaný. Infikovaný bol PKGBUILD na vytváranie balíčku. A ani po vytvorení a následnej inštalácii balíčka sa ten samotný balíček neinfikoval. Vytvorili sa "len" dve služby na spúšťanie nefunkčného skript. A tá služba sa dá vypnúť. Podmienkou je, si ju všimnúť. To je myslím jasné.
