由用户递交的软件仓库 Arch User Repository(AUR)最近遭遇了大规模恶意攻击,攻击者创建了一系列新账号,然后通过这些账号接管无人维护的软件包(被称为 orphaned packages),植入恶意代码,推送恶意更新。
Arch 项目的维护者现已关闭了新用户注册,正在讨论如何处理这些被恶意滥用的无人维护软件包。
AUR 中的软件包由用户递交,其他用户可通过搜索下载 PKGBUILD 文件、解依、编译、安装和更新软件。它不提供软件的二进制版本。
目前 AUR 中有逾 107,000 个软件包,其中近 14,000 个无人维护可供认领。任何注册用户都可以认领和修改无人维护的软件包。它提供的软件包未经审核,风险由用户自己承担。
其它 Linux 发行版也都有类似的软件仓库,如 Fedora 的 Copr,openSUSE 的 Open Build Service (OBS),Ubuntu 的 Personal Package Archives (PPA)。但这些服务与 AUR 有显著区别:它们提供了类似官方软件包的构建环境,而且不允许预编译二进制文件或私有软件。
AUR 的要求过于宽松而在这次攻击中遭到了滥用。
https://www.solidot.org/story?sid=84647
AUR 后续该如何改进以增强安全呢
Featured Collection
Popular Events
中文 
deepin 
由用户递交的软件仓库 Arch User Repository(AUR)最近遭遇了大规模恶意攻击,攻击者创建了一系列新账号,然后通过这些账号接管无人维护的软件包(被称为 orphaned packages),植入恶意代码,推送恶意更新。
Arch 项目的维护者现已关闭了新用户注册,正在讨论如何处理这些被恶意滥用的无人维护软件包。
AUR 中的软件包由用户递交,其他用户可通过搜索下载 PKGBUILD 文件、解依、编译、安装和更新软件。它不提供软件的二进制版本。
目前 AUR 中有逾 107,000 个软件包,其中近 14,000 个无人维护可供认领。任何注册用户都可以认领和修改无人维护的软件包。它提供的软件包未经审核,风险由用户自己承担。
其它 Linux 发行版也都有类似的软件仓库,如 Fedora 的 Copr,openSUSE 的 Open Build Service (OBS),Ubuntu 的 Personal Package Archives (PPA)。但这些服务与 AUR 有显著区别:它们提供了类似官方软件包的构建环境,而且不允许预编译二进制文件或私有软件。
AUR 的要求过于宽松而在这次攻击中遭到了滥用。
https://www.solidot.org/story?sid=84647