В AUR-репозитории Arch Linux найдено вредоносное ПО

akorop	# 6 лет, 4 месяца назад (отредактировано 6 лет, 4 месяца назад)
Темы: 111 Сообщения: 1756 Участник с: 29 февраля 2012	vs220 Тема все же про зловредов в ауре. И я к тому что расслабляться не стоит -подмена пакбилда позволяет простейшими методами внедрить зловреда или навредить системе Ну да, простейшими. Типа почтового вируса "Талибан". Кстати, если уж о простейших методах, то через INSTALL можно натворить ещё круче, чем через PKGBUILD. Но есть ведь и не только простейшие методы? Вот не простейший, а просто простой способ: скачивается совершенно безобидный исходник с уважаемого официального сайта, и в комплект включается 20 патчей, один из которых патчит Makefile, а уж тот создаёт в bin всё, что хочется. Или патчит свой же INSTALL, включая туда rm -rf /home. А если автор не боится сложностей, то может пропатчить исходник, чтобы при сотом выполнении программы почистить ~. Так что толку читать PKGBUILD? Чистая психотерапия. Уж если бдить, то как минимум, надо тщательно проверить, откуда качается исходник, и внимательно прочитать все патчии и INSTALL. Да и это никаких гарантий не даст.

# 6 лет, 4 месяца назад (отредактировано 6 лет, 4 месяца назад)

Сообщения: 1756

Участник с: 29 февраля 2012

vs220
Тема все же про зловредов в ауре. И я к тому что расслабляться не стоит -подмена пакбилда позволяет простейшими методами внедрить зловреда или навредить системе

Ну да, простейшими. Типа почтового вируса "Талибан". Кстати, если уж о простейших методах, то через INSTALL можно натворить ещё круче, чем через PKGBUILD. Но есть ведь и не только простейшие методы?
Вот не простейший, а просто простой способ: скачивается совершенно безобидный исходник с уважаемого официального сайта, и в комплект включается 20 патчей, один из которых патчит Makefile, а уж тот создаёт в bin всё, что хочется. Или патчит свой же INSTALL, включая туда rm -rf /home.
А если автор не боится сложностей, то может пропатчить исходник, чтобы при сотом выполнении программы почистить ~.
Так что толку читать PKGBUILD? Чистая психотерапия. Уж если бдить, то как минимум, надо тщательно проверить, откуда качается исходник, и внимательно прочитать все патчии и INSTALL. Да и это никаких гарантий не даст.

vasek	# 6 лет, 4 месяца назад (отредактировано 6 лет, 4 месяца назад)
Темы: 47 Сообщения: 11853 Участник с: 17 февраля 2013	akorop Так что толку читать PKGBUILD? Чистая психотерапия. Уж если бдить, то как минимум, надо тщательно проверить, откуда качается исходник, и внимательно прочитать все патчии и INSTALL. Да и это никаких гарантий не даст. Это точно - и если уж используем AUR, то на свой страх и риск, о чем нас честно и предупреждают. Когда то была мысля проверять после каждой установки из AUR, что где установилось, в части исполняемых файлов, но, похоже, и это бесполезно. EDIT 1 - одно радует, что сообщество ПОКА надежное и злонамерений ~~вроде бы?~~ пока не выявлено. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 6 лет, 4 месяца назад (отредактировано 6 лет, 4 месяца назад)

Темы: 47

Сообщения: 11853

Участник с: 17 февраля 2013

akorop
Так что толку читать PKGBUILD? Чистая психотерапия. Уж если бдить, то как минимум, надо тщательно проверить, откуда качается исходник, и внимательно прочитать все патчии и INSTALL. Да и это никаких гарантий не даст.

Это точно - и если уж используем AUR, то на свой страх и риск, о чем нас честно и предупреждают.
Когда то была мысля проверять после каждой установки из AUR, что где установилось, в части исполняемых файлов, но, похоже, и это бесполезно.

EDIT 1 - одно радует, что сообщество ПОКА надежное и злонамерений ~~вроде бы?~~ пока не выявлено.

Ошибки не исчезают с опытом - они просто умнеют