В AUR-репозитории Arch Linux найдено вредоносное ПО

Цитирую с opennet:
В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (утилита для сжатия файлов) и minergate 8.1-2 (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов.

Уже обсуждаем.
Извините за нескромный вопрос, разве пользователи арч перестали проверять текст PKGBUILD перед сборкой пакета и содержимое папки pkg после сборки?
Да пребудет с вами знание ip адреса
domov0y
разве пользователи арч перестали проверять текст PKGBUILD перед сборкой пакета и содержимое папки pkg после сборки?
И это обсуждаем (см. линк выше).
Но новость пусть будет. Может больше прочтут.
Aivar
Уже обсуждаем.
По названию темы ("Дефектные обновления [AUR]") совершенно не возможно догадаться, что вы в неё обсуждаете.
Очевидно, что новость касающаяся безопасности должна быть заметной.
genues
Цитирую с opennet:
В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (утилита для сжатия файлов) и minergate 8.1-2 (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов.

В конце топика на опеннете есть такой абзац:
Проблема была выявлена в течение нескольких часов после модификации пакетов. Изменение было сразу отклонено, а учётная запись разработчика xeactor заблокирована. Пользователям, 7 июля устанавливавшим обновления вышеотмеченных пакетов, рекомендуется проверить свои системы на предмет возможной компрометации (например, о наличии вредоносного ПО в системе может сигнализировать файл /usr/lib/systemd/system/xeactor.timer).
Это означает что: проблема устранена, липовый "майнтайнер" заблокирован, страшилка перешла в разряд "б\у".

PS. Это вовсе не отменяет необходимость использовать свое серое вещество, при установке пакетов из AUR и сторонних реп.
In Tux We Trust
genues
По названию темы ("Дефектные обновления [AUR]") совершенно не возможно догадаться, что вы в неё обсуждаете.
Очевидно, что новость касающаяся безопасности должна быть заметной.
О! Не зря я нажимал на клавиши. ) А то кричали: "паранойя"... ))

redix
Это означает что: проблема устранена, липовый "майнтайнер" заблокирован, страшилка перешла в разряд "б\у".
Там еще, вроде, что-то нашли.
как бы это не стало причиной для закрытия АУР... (((
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
с чего бы его закрывать?
Если его закроют, то сделают форк, который будет намного опаснее оригинала, ИМХО.
Мне кажется, не пойдут на это.
 
Зарегистрироваться или войдите чтобы оставить сообщение.