Новости
   374

Пакеты в AUR были скопроментированы

Официальное заявление можно прочитать тут.

Статья с подробностями по вопросу размещена на этом ресурсе.

Первое, что надо сделать обладателям пакета Acroread — проверить систему на всякий случай. Хотя, судя по материалу, вредителя прибили почти что сразу. Да и малварь лишь собирала информацию о системе…

На русскоязычном форуме Arch Linux вопрос обсуждается здесь и здесь.
  • 0
  • +3

9 комментариев

avatar
Вот тут подробнее на русском: В AUR-репозитории Arch Linux найдено вредоносное ПО
Ну и всегда надо помнить, устанавливая пакеты из AUR, что они потенциально могут быть скомпроментированы. Не зря yaourt, во время установки пакета предлагает посмотреть PKGBUILD. Так же не стоит устанавливать из AUR совсем уж неизвестные пакеты, но это касается любой операционной системы.
+1
avatar
Одна из причин, из-за которой мой выбор пал на arch-based дистрибутивы. А именно, — помимо официальных репо существует неофициальный AUR. Где можно найти почти всё.

Да, проблема в AUR возникла. Но решилась в течение нескольких часов. Если же для установки (как это делается в debian-based, к примеру) пакетов, которых нет в официальном репозитории пользователь начинает самостоятельно подключать множество сторонних рра. То риск «подхватить» нечто плохое намного выше. Поскольку по большому счёту их просто некому проверять на предмет безопасности. И поэтому вероятность того, что кто-то проверил какой-то рра (подключённый у отдельного пользователя) и обнаружил проблему гораздо меньше. И даже чисто технически это займёт больше времени в любом случае.

Одним словом разумная централизация наше всё)
P.S. Ну и надо похвалить людей, следящих за порядком в AUR. Нашли и прибили.
Последний раз редактировалось
0
avatar
«Пакеты в АУР»…
Блин, что за чушь?
В АУР нет пакетов! Там есть только скрипты для установки пакетов!
?
Правильные ответы начинаются с правильных вопросов.
0
avatar
Понятно, что скрипты. Но сложилась традиция так писать. Никто не пишет «скрипты в AUR». Достаточно прочитать первый абзац по ссылке, указанной коллегой nZemekis. И насколько это уточнение важно, в свете обсуждаемого вопроса?)
Спойлер!
В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (утилита для сжатия файлов) и minergate 8.1-2 (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов."
Последний раз редактировалось
+1
avatar
Нашли и прибили---вот молодцы !!!AUR только гугл-хром поставила (((((
0
avatar
По сообщениям Chrome это не коснулось, так что волноваться не о чем совершенно. Что касается факта вредоноса, то бывают случаи и гораздо хуже. Не так давно были проблемы у Gentoo. А пару лет назад очень сильно пострадал Linux Mint.

По сравнению с вышеприведёнными случаями происшествие с AUR вообще ни о чём)
0
avatar
Приветики
пару лет назад точно была на минте но как то особо этого не заметила но в тетрадочки накопилось много команд для минта вот с маджаро пока что нет и удивительное дело тут не приходится почти никогда пользоваться терминалом
ну а так немного заскучала--тьфутьфу всё работает что смогла настроить при помощи нашего форума -благо тут он активный ((вот только с TOR браузер--пишет циклическая зависимость))ну и ладно это не особо актуально
0
avatar
Вики у арча одна из лучших. Команды pacman почитать можно в немецкой редакции через переводчик — наиболее полно и удобно представленная информация.

Установите pikaur (в качестве AUR helper). Чтобы иметь возможность работать с AUR (yaourt уже не поддерживается). Синтаксис команд такой же, как и у pacman.

Например, полное обновление системы (включая пакеты из AUR). Присутствует русский язык.
pikaur -Syu
0
avatar
спасибо большое за ссылки читаю за ужином пакман
0
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.