forum.opennet.ru

"В AUR-репозитории Arch Linux найдено вредоносное ПО"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для контроля за появлением новых сообщений - перед выходом жмите "Пометить прочитанным".

. "В AUR-репозитории Arch Linux найдено вредоносное ПО"	+3 +/–
Сообщение от Аноним84701 (ok), 11-Июл-18, 14:43
> Куча народа мониторят изменения в PKGBUILD в таких популярных пакетах. Вопрос в том, мониторят ли так же и все сторонние патчи? Kусок из PKGBUILD chromium-dev: source=( #"https://gsdview.appspot.com/chromium-browser-official/chromium-${pkgver}.tar.xz" "https://commondatastorage.googleapis.com/chromium-browser-of...-${pkgver}.tar.xz" 'git+https://github.com/foutrelis/chromium-launcher.git' 'chromium-dev.svg' # Patch form Gentoo 'https://raw.githubusercontent.com/gentoo/gentoo/master/www-c...' 'https://raw.githubusercontent.com/gentoo/gentoo/master/www-c...' 'https://raw.githubusercontent.com/gentoo/gentoo/master/www-c...' 'https://raw.githubusercontent.com/gentoo/gentoo/master/www-c...' # Misc Patches 'chromium-ffmpeg-clang.patch' 'chromium-intel-vaapi_r18.diff.base64::https://chromium-review.googlesource.com/changes/532294/revi...' # Patch from crbug (chromium bugtracker) or Arch chromium package 'chromium-widevine-r2.patch::https://git.archlinux.org/svntogit/packages.git/plain/trunk/...' 'chromium-skia-harmony.patch::https://git.archlinux.org/svntogit/packages.git/plain/trunk/...' 'fix_mixup_between_DIP_pixel_coordinates.diff.base64::https://chromium-review.googlesource.com/changes/1083692/rev...' ) Т.е, если развить идею - делаем работающий патч для вырезания очередного зонда или сомнительного действа. Прилежно сопровождаем пару месяцев, предлагаем для включения. ... Через тройку месяцев подменяем. ... Профит!? Немного утрированно, но кроме популярных хрумов наверняка наберется дюжина-другая "малонужных" (и поэтому слабомониторящихся) проектов, с неплохой суммарной пользовательской базой.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В AUR-репозитории Arch Linux найдено вредоносное ПО, opennews, 11-Июл-18, 10:22 [смотреть все]

Как-то нетолерантно , Аноним, 11-Июл-18, 10:22 (1) //
- Уууууу, толераст, Fantomas, 12-Июл-18, 17:21 (127)
По сути от whitehat ил , Michael Shigorin, 11-Июл-18, 10:24 (2) //
- А что отвайхетил то Все и так знали, что AUR это помойка, в которую любой мог з, Atterratio, 11-Июл-18, 10:45 (6) //
  - Это было удивление тем, что заблокировали вместо того, чтоб сказать спасибо за н, Michael Shigorin, 11-Июл-18, 11:32 (20) //
    - За какую науку Все и так знали, что AUR это помойка, в которую любой мог загруз, Аноним, 11-Июл-18, 12:22 (28)
      - AUR полностью аналогичен PPA, и цели для которых он предназначен конвертация чуж, Джон Ленин, 12-Июл-18, 00:13 (103)
  - Я не я, и лошадь не моя - это в таких вот новостях А вот когда речь идет о к, Аноним, 11-Июл-18, 11:49 (23) //
    - в связи с этим случаем я даже видел заявление, что AUR Arch User Repository ни, Аноним, 11-Июл-18, 15:49 (56)
      - Фанатики, сэр , soarin, 11-Июл-18, 19:40 (79)
    - Объясняю для танкистов Момент первый В АУРе примерно 25-40 поддерживаемых сбор, Аноним, 12-Июл-18, 00:14 (104)
      - checkinstall Не, не слышали Отсюда и полная неуместность сравнения с нормальным, Аноним, 12-Июл-18, 03:12 (111)
    - То, что скрипт сборки умеет лазить в репозитории дебианов и федор, тягать оттуда, Джон Ленин, 12-Июл-18, 00:19 (105)
    - Вапщта в Арче пакетов много даже БЕЗ aur Плюс, в целом ситуация - когда обнаружи, лютый охохоня..., 12-Июл-18, 05:03 (112)
      - Вапщта нет И количество пакетов количество софта , Аноним, 12-Июл-18, 12:10 (120)
        
        Ага Да и количество пакетов - не самый важный показатель , Аноним, 13-Июл-18, 14:55 (132)
- от redhat ил, Аноним, 11-Июл-18, 15:54 (57) //
  - Аргументируй, Аноним, 11-Июл-18, 22:34 (102)
- да, но скорее тестировали, как пройдет , crypt, 11-Июл-18, 18:57 (77)
Отсюда вывод никаких бинарных пакетов от людей не являющихся официальными разра, Аноним, 11-Июл-18, 10:35 (3) //
- Мда Я смотрю кто то не знает что такое AUR Там нет этих ваших бинарных пак, Atterratio, 11-Июл-18, 10:42 (4) //
  - И этот кто-то - ты Серьезно А -bin пакеты - это что https aur archlinux org, Celcion, 11-Июл-18, 10:52 (11) //
    - А где лежат сами пакеты без подсказки догадаетесь , Аноним, 11-Июл-18, 11:01 (13)
      - Можно раскрыть мысль - а как это отменяет факт, что бинарные пакеты в AUR таки е, Celcion, 11-Июл-18, 11:02 (15)
        
        В аур есть бинарные пакеты, а аур нету самих бинарников Нельзя там бинарники хо, Аноним, 11-Июл-18, 13:17 (36)
        
        Действительно, такие как ты очень любят настойчиво не понимать, с чем идет спор , Celcion, 11-Июл-18, 17:35 (70)
        
        Спор какой-то не в тему Впадлу что ли PKGBILD глянуть на предмет, от куда бинар, Александр, 12-Июл-18, 01:06 (107)
        
        А впaдлу включить голову и попытаться понять, что речь идет не об этом Или ту, Celcion, 12-Июл-18, 09:36 (118)
        
        Ты должен остаться правым в интернете Что-бы не случилось, но ты должен остатьс, чебурнет.рф, 15-Июл-18, 05:27 (137)
        
        Остаться правым можно в случае, если был какой-то спор А когда ты говоришь про , Celcion, 16-Июл-18, 10:16 (139)
        
        Так это ещё хуже, чем если бы они там были Тупо в любой момент можно бинарник п, Аноним, 11-Июл-18, 20:37 (92)
      - Серьезно что ли Откройте PKGBUILD, не поленитесь Там в строчке source указано, , анонимус, 11-Июл-18, 14:14 (44)
        
        и к нему контрольная сумма прилагается Так например проприетарный торрент-кли, Джон Ленин, 14-Июл-18, 01:27 (133)
        
        Верно Но кто сможет поручиться за то, что в бинарном пакете, лежащем на этом са, Celcion, 16-Июл-18, 10:24 (140)
    - Тебе ещё раз повторяют в самом AUR е не содержится никаких пакетов, тем более б, Амнон, 11-Июл-18, 11:05 (16)
      - В аур, думаю, можно коммитнуть бинарник головой не ручаюсь, может быть у них та, виндотролль, 11-Июл-18, 12:25 (30)
        
        Нельзя, Арчевод, 11-Июл-18, 15:32 (53)
        
        Почему Точно можно всякие desktop коммитить И кажется, где-то даже видел xpm , виндотролль, 11-Июл-18, 15:47 (55)
        
        И desktop, и xpm 8212 это текстовые форматы , Dmitry Shachnev, 11-Июл-18, 20:37 (93)
        
        Так а все таки, что помешает Запушить не позволят Не хочу заняться аур тестовым, виндотролль, 12-Июл-18, 00:50 (106)
      - Именно про это и говорилось, и ничего не говорилось про то, где бинарные пакеты , Celcion, 11-Июл-18, 17:36 (72)
    - Ну да, они есть Но достаточно скачать такой PKGBUILD и глянуть в нем, откуда ка, axredneck, 11-Июл-18, 20:17 (87)
  - Наркоманштoле Каким образом ты думаешь устанавливается софт по типу вайбера Н, Vitaliy Blats, 11-Июл-18, 12:29 (33) //
    - вот только в AUR-е от этого бинарников не появилось, админ локалхоста, 11-Июл-18, 14:01 (39)
      - Это каким-то образом отменяет установку бинарника , Vitaliy Blats, 11-Июл-18, 15:34 (54)
        
        С каких пор установка бинарей с оф сайтов стала трагедией , Александр, 12-Июл-18, 01:19 (108)
- Этот вывод не отсюда В данном случае хватило бы просто прочесть скрипт сборки , rand, 11-Июл-18, 10:45 (5)
- AUR это и делает Выкачать PKGBUILD из AUR и проверить 20-строчный скрипт на пре, виндотролль, 11-Июл-18, 10:45 (8) //
  - О да, для каждого пакета просматривать скрипт установки то еще удовольствие , Аноним, 11-Июл-18, 12:19 (27) //
    - Ну да, проще каждый раз свой велосипед городить, чем посмотреть на готовый скрип, Shatur, 11-Июл-18, 12:59 (35)
      - кстати а при обновлении из AURа пакетный манагер обновляет или говорит что низя , J.L., 11-Июл-18, 16:15 (59)
        
        Смотря какой манагер yaourt обновляет, но отдельно от бинарных реп, и предлагае, Аноним, 11-Июл-18, 16:41 (62)
        
        Более того, он может обновлять через git и предлагать проверить не весь PKGBUILD, axredneck, 11-Июл-18, 20:13 (86)
        на всякий случай про текущую ситуацию с yaourt https www reddit com r archlin, ы, 11-Июл-18, 21:26 (100)
        
        Сейчас в моде aurman Держу в курсе , UzerBluzer, 12-Июл-18, 21:04 (129)
        
        при каждой установке или обновлении пакета предлагает посмотреть, анан, 11-Июл-18, 16:43 (64)
        
        а много можно понять по такому билдскрипту https www opennet ru openforum vslu, J.L., 11-Июл-18, 18:21 (75)
        
        Увы, но что-то я там не увидел билдскрипта , Александр, 12-Июл-18, 01:23 (109)
        
        а что же там Kусок из PKGBUILD chromium-dev , J.L., 12-Июл-18, 12:50 (122)
В скрипте не видно,что он создает в usr lib systemd system что-то, odity, 11-Июл-18, 10:45 (7) //
- Как это , SysA, 11-Июл-18, 10:50 (10)
- usr lib systemd systemd so - , Аноним, 12-Июл-18, 17:20 (126)
ну, учитывая что в аур даже варез заливают, заголовок желтоват Доверяй, но про, Аноним, 11-Июл-18, 10:47 (9)
мне видится 1 потенциально удачный сценарий атаки на AUR 8212 сделать вредоно, виндотролль, 11-Июл-18, 10:53 (12) //
- И что это за мегапопулярный пакет будет, что кто-то будет этим заморачиваться , emaName, 11-Июл-18, 11:09 (17) //
  - Навскидку - гуглохром подойдёт Особенно пикантно, если патчи будут чистить гугл, Аноним, 11-Июл-18, 11:44 (22) //
    - Вряд ли к таким пакетам проходимец какой-нибудь дорвется , emaName, 11-Июл-18, 11:49 (24)
      - К основному Хрому да А к какой-нибудь патченной в ауре, которая типа буз гуглозо, nrv, 11-Июл-18, 12:26 (32)
    - Куча народа мониторят изменения в PKGBUILD в таких популярных пакетах , emaName, 11-Июл-18, 11:51 (25)
      - Вопрос в том, мониторят ли так же и все сторонние патчи Kусок из PKGBUILD chromi , Аноним84701, 11-Июл-18, 14:43 (48)
        
        там у каждого файла по рекомендациям должна быть хеш, если изменить файлы то хеш, анан, 11-Июл-18, 16:46 (65)
        
        блин, это ж естественно, что хеши обновляются Код меняется, патчи адаптируются , виндотролль, 11-Июл-18, 18:33 (76)
        
        а смыл-то в чем Вот подпишу я тебе своим ключом пакет, создающий у тебя в хомяк, пох, 11-Июл-18, 19:42 (80)
    - В смысле, Хромиум А то к Хрому сишные патчи не применишь , axredneck, 11-Июл-18, 20:19 (88)
Только Gentoo , Gentoo Developer, 11-Июл-18, 11:24 (18) //
- Иногда нужно работать а не компилировать, Васёк, 11-Июл-18, 17:54 (73) //
  - Можно make -j1 в фоне в tmp Если в tmp места нет, то BFQ Но опять же приходи, axredneck, 11-Июл-18, 20:25 (89)
  - Вот реально в фоне бывает крутится сборка какого-то крупного обновления Из неуд, FSA, 15-Июл-18, 13:22 (138)
На свалке нашли мусор, вот так новость , Чебур, 11-Июл-18, 11:30 (19) //
- Новость наверно в том, что раньше не находили Это немного удивительно , iPony, 11-Июл-18, 11:38 (21) //
  - удивительно, что никто не хотел рыться в свалке, чтобы убедиться - Ну вот, на, рачевод, 11-Июл-18, 12:25 (29)
  - Так, может, там такого добра ещё много Но только один чел взял и намеренно созд, Андрей, 11-Июл-18, 14:53 (49)
- Эта новость, наверное, больше удивила тех, кто с миром Arch не знаком в частнос, anonimm, 11-Июл-18, 14:08 (42)
Почалось Я давно уже ждал когда начнется распространение заразы со всяких ppa п, Аноним, 11-Июл-18, 12:39 (34) //
- А типа в ядро или другой проект не может попасть вредоносный код Мэйнтейнеры то, Андрей, 11-Июл-18, 14:55 (50) //
  - Достаточно не новичку захотеть реальных денег за свои труды Что такое доверие, , Аноним, 12-Июл-18, 08:40 (115)
- https www opennet ru opennews art shtml num 24610 - я просто оставлю это здесь, Аноним, 11-Июл-18, 20:46 (94)
Так AUR помойка, зато в ней есть практически всё , commiethebeastie, 11-Июл-18, 13:45 (38) //
- Мое любимое место, столько хaлявной тухлятинки, мммм обожаю , Аноним, 11-Июл-18, 14:06 (40) //
  - Тухлятинка обычно не собирается , commiethebeastie, 11-Июл-18, 14:07 (41) //
    - Если ты хочешь из аура mesa-git собрать, то сначала надо подключить неофициальну, Джон Ленин, 14-Июл-18, 01:33 (134)
Забавные они там все Вот просто так валяется хлам и каждый может ещё сверху нага, Совсем другой Аноним, 11-Июл-18, 14:18 (46) //
- так вроде сузя его уже тоже - тогось, остался урезанный и с фейс-контролем на вх, нах, 11-Июл-18, 14:25 (47) //
  - Вроде, нет Любой желающий может собирать пакеты, как и раньше , sergey, 11-Июл-18, 15:17 (52)
аааааяяя говорииииииил линукс надо защищать по дефолту и юзера от программ и , J.L., 11-Июл-18, 14:55 (51) //
- В виндоувсе со многими аспектами лучше, чем в линуксе , Аноним, 11-Июл-18, 16:03 (58) //
  - с троянами и майнингом например, Клыкастый, 11-Июл-18, 16:41 (63) //
    - в windows store - пока не замечено ни того, ни другого В том числе да, и потому,, нах, 11-Июл-18, 17:34 (69)
      - так там и софта не замечено, Клыкастый, 11-Июл-18, 17:55 (74)
        
        патамуштанадазаплатитьзасертификат, ага Ну то есть - помоечного софта незамечен, пох, 11-Июл-18, 19:37 (78)
        
        В маке как то решают, все живы Там сертификат подписи с оперативным отзывом со , username, 11-Июл-18, 19:47 (81)
        
        Не все Многие от туда просто свалили И распространяют свой софт не через AppSt, soarin, 11-Июл-18, 19:59 (84)
        
        Свалили таки по другой причине Любой софт из стора работает в песочнице по моем, username, 11-Июл-18, 21:03 (96)
        
        идея та же что у MS, но уже не годится первый попавшийся code signing сертификат, ., 12-Июл-18, 09:31 (116)
        
        Плохо смотрел Этак в годах 2013-2014 я как-то туда лазил Там жуть была Потом п, soarin, 11-Июл-18, 19:57 (83)
  - В смысле -- вместо долгих 171 нескольких часов 187 , всего за какой-то жалкий, Аноним84701, 11-Июл-18, 21:19 (98) //
    - вот и не ставь всякой фигни с васян-сайтов, и под виндой тоже не Хакнули-то cdn , нах, 12-Июл-18, 17:27 (128)
Внезапно, в AUR е и гентушных оверлеях можно хоть скрипт сборочный почитать, что, Аноним, 11-Июл-18, 16:36 (61) //
- ты не поверишь, в большинстве этих помоек есть source repo Но из него никто ник, нах, 11-Июл-18, 17:33 (67) //
  - Я читаю, axredneck, 11-Июл-18, 20:30 (90)
  - В больших, типа epel я есть, а в мелких, на пять-десять пакетов пару раз только , Аноним, 12-Июл-18, 08:34 (114)
  - а при чем тут source repo пакет как минимум deb, за rpm не ручаюсь - это архи, Daemon, 12-Июл-18, 09:31 (117) //
    - На сколько пакетов тебя хватит , Аноним, 13-Июл-18, 13:32 (131)
- Ну почитал и что То же что и на бинарник поглядеть Читатели блин , anonymous, 11-Июл-18, 17:34 (68)
Эка невидаль А PKGBUILD на что yaourt каждый раз заботливо предлагает читать Б, lucentcode, 11-Июл-18, 20:06 (85) //
- Есть, правда, еще pacaur, который, если не ошибаюсь, молча качает и ставит , axredneck, 11-Июл-18, 20:51 (95)
- а не важные для вас пакеты значит хомяк не овнят с остальным согласенпросто не м, J.L., 12-Июл-18, 12:57 (123) //
  - Согласен, только пока ничего подобного не видел И не факт что кто-то вообще воз, lucentcode, 29-Июл-18, 23:49 (142)
Как-то не удивляет и не пугает такое AUR в Арче, юзерские PPA в Убунту, репы ho, Sluggard, 11-Июл-18, 21:22 (99)
большинство пипла, судя по комментам, не в курсе с чем едят aur, а с чем нет, но, ы, 11-Июл-18, 21:29 (101)
Типичный линуксоидно-школотронский стиль - засунем в билды всяких примочек, скри, Аноним, 12-Июл-18, 01:48 (110) //
- Внизaпна, унутре твоих любимых exe тоже есть скрипты, но тебе их не покажут, чт, Аноним, 12-Июл-18, 08:27 (113)
- вот тебе, например, рабочих мозгов надо , arisu, 16-Июл-18, 20:03 (141)
Та норм тема аур Все кто его хейтят просто завидуют, что в их дистре нет подоб, Аноним, 12-Июл-18, 10:59 (119) //
- Перевод с арчеводного на русский хейтить - не любить, не восторгаться, непочти, Аноним, 12-Июл-18, 12:30 (121)
- Все завидуют,ага Особенно bsdишники и гентушники ХD, Аноним, 14-Июл-18, 20:52 (136)
Проделки космонафта Хочет сравнить с результаты с бубунтой , Аноним, 12-Июл-18, 14:13 (124) //
- плюсадын выпиливает apport - еще один троянец, помимо contest а , нах, 12-Июл-18, 16:46 (125)
А сколько ещё не выявлено Зато модно стильно и молодёжно , Аноним, 14-Июл-18, 20:50 (135)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру