genues |
|
Темы:
24
Сообщения:
281
Участник с: 26 сентября 2011
|
Цитирую с opennet:В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (утилита для сжатия файлов) и minergate 8.1-2 (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов. |
Aivar |
|
Темы:
4
Сообщения:
6897
Участник с: 17 февраля 2011
|
Уже обсуждаем. |
domov0y |
|
Темы:
5
Сообщения:
819
Участник с: 09 июля 2011
|
Извините за нескромный вопрос, разве пользователи арч перестали проверять текст PKGBUILD перед сборкой пакета и содержимое папки pkg после сборки?
Да пребудет с вами знание ip адреса
|
Aivar |
|
Темы:
4
Сообщения:
6897
Участник с: 17 февраля 2011
|
domov0yИ это обсуждаем (см. линк выше). Но новость пусть будет. Может больше прочтут. |
genues |
|
Темы:
24
Сообщения:
281
Участник с: 26 сентября 2011
|
AivarПо названию темы ("Дефектные обновления [AUR]") совершенно не возможно догадаться, что вы в неё обсуждаете. Очевидно, что новость касающаяся безопасности должна быть заметной. |
redix |
|
Темы:
34
Сообщения:
3433
Участник с: 11 марта 2013
|
genuesВ конце топика на опеннете есть такой абзац: Проблема была выявлена в течение нескольких часов после модификации пакетов. Изменение было сразу отклонено, а учётная запись разработчика xeactor заблокирована. Пользователям, 7 июля устанавливавшим обновления вышеотмеченных пакетов, рекомендуется проверить свои системы на предмет возможной компрометации (например, о наличии вредоносного ПО в системе может сигнализировать файл /usr/lib/systemd/system/xeactor.timer).Это означает что: проблема устранена, липовый "майнтайнер" заблокирован, страшилка перешла в разряд "б\у". PS. Это вовсе не отменяет необходимость использовать свое серое вещество, при установке пакетов из AUR и сторонних реп.
In Tux We Trust
|
-_o |
|
Темы:
3
Сообщения:
251
Участник с: 13 января 2018
|
genuesО! Не зря я нажимал на клавиши. ) А то кричали: "паранойя"... )) redixТам еще, вроде, что-то нашли. |
nafanja |
|
Темы:
94
Сообщения:
9252
Участник с: 02 июня 2012
заблокирован
|
как бы это не стало причиной для закрытия АУР... (((
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874 |
grayich |
|
Темы:
216
Сообщения:
1984
Участник с: 08 января 2009
|
с чего бы его закрывать? |
Templainer |
|
Темы:
36
Сообщения:
127
Участник с: 25 апреля 2014
|
Если его закроют, то сделают форк, который будет намного опаснее оригинала, ИМХО. Мне кажется, не пойдут на это. |