News Arch Linux unter Feuer: 400 Pakete im AUR kompromittiert

[mibbio]

Leider fliegen ja manchmal Pakete aus dem Repo und landen im AUR.

Wobei die dann aber anschließend nicht automatisch aus dem AUR installiert werden, da pacman selbst ja gar nichts vom AUR weiß.

Wenn ein Paket aus dem offiziellen Repo verschwindet und ins AUR wandert, wird es durch pacman erstmal einfach nur nicht mehr aktualisiert und man bekommt eventuell nen Hinweis, dass pacman das Paket nicht (mehr) zuordnen kann.

Da muss man dann schon selber aktiv werden, um beim installierten Paket auf das Paket aus dem AUR zu wechseln. Gibt aber durchaus AUR-Helper, die in dem Fall automatisch auf das AUR-Paket umstellen.

 

[Grimba]

Eine etwas ausgefeiltere Script-Variante ist hier zu finden:
https://github.com/lenucksi/aur-malware-check

Checkt neben mittlerweile 512 Paketen auch pacman logs, systemd persistence, eBPF rootkit Spuren, npm cache und bun cache.

17:33 wurde offenbar auch auf der AUR Mailingliste von Jonathan Grotelüschen (offenbar einer der Kämpfer auf AUR Seite) gemeldet:

Hi everyone,

I believe that at the moment we deleted all the malicious commits we know of. Thanks to everyone for reporting packages.

A list containing many (but not all) of the affected packages can be found here: https://md.archlinux.org/s/SxbqukK6IA

Best,Jonathan

Quelle: https://lists.archlinux.org/archive....org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/ (ganz unten)

 

[Photon]

400 Pakete klingt nach viel, aber im Verhältnis zu den über 107 Tausend Paketen ist das doch ein überschaubarer Prozentsatz (unter 4 Promille). Deshalb ist die Wahrscheinlichkeit, dass man betroffen ist, selbst wenn man eine zwei- oder sogar dreistellige Anzahl von AUR-Paketen nutzt, sehr gering.

Auf meinem PC sind laut Check-Skript vom CachyOS-Forum (danke übrigens fürs Verlinken!) kein Paket betroffen, ich werde für die nächsten Tage keine AUR-Updates laufen lassen und gehe davon aus, dass in ein paar Tagen eine Lösung gefunden sein wird. In der Mailing-Liste wird schon fleißig diskutiert und im Viertelstundentakt gehen Mails mit neu gefundenen Paketen und Ideen zur Lösung des Problems ein rein. Bin also optimistisch, dass das Problem bald aus der Welt geschafft ist!

 

[Grimba]

Aus der Welt ist relativ. Mit steigender Popularität von Linux allgemein werden User-/Community-Repositories für virtuelle A-Geigen natürlich immer interessanter als Ziel. Und das AUR ist offensichtlich eins der niederschwelligsten Einfallstore dieser Art. Diese Situation bleibt also erstmal in der Welt. Die halbwegs sorglosen Zeiten sind dort halt auch vorbei. Das rein auf die Nutzerverantwortung abzuwälzen ist so eine Sache so einfach, wie Pakete aus solchen Quellen heutzutage in verschiedenen Distributionen zur Verfügung gestellt werden. Ich bin auch der Meinung, dass hier nachgeschärft werden muss. Was Arch angeht, wird das AUR ja regelrecht als Feature gesehen.

 

[OpticalFiber]

Da muss man mehr Anstrengungen unternommen werden, das, das nicht mehr wieder vorkommt. Es müssen bessere Erkennungs Mechanismen ausgebaut werden.

 

[User38]

Zeigt mal wieder schön, warum man AUR-PGKBUILDs nicht unbesehen installieren sollte

Ich würde mal behaupten das 9/10 Benutzer keine Ahnung davon haben und alles blind installieren, den man ist ja cool und benutzt Archlinux… ähh CachyOS aber man ist eben cool 😎

 

[Grimba]

Mit Coolnes hat das nichts zu tun. Es wurde ja schon angesprochen. Es befindet sich ja nicht nur sonstiger Krempel im AUR, sondern es wandern Sachen aus der Distribution dort hinein, die nicht mehr im Regelbetrieb gepflegt werden können. Viel Legacy Stuff, aber auch Sachen, die man nicht in der Distro maintainen kann oder will. Das hochgelobte Arch-Wiki ist voll mit Anleitungen, die die Installation von AUR Paketen fest mit einschließen. Vor dem Hintergrund solcher Kampangen sollte das vielleicht nicht mehr für alles das gleiche Sammelbecken sein.

 

[Photon]

Das AUR muss sich wohl etwas verändern, aber ich hoffe, dass es die meisten seiner Features beibehalten kann. In der Mailing-Liste wird gerade darüber diskutiert, das Einreichen von neuen Paketen und vor allem auch die Übernahme von Orphans durch frisch registrierte Nutzer einzuschränken bzw. zu moderieren. Ich denke, diese Art von minimalinvasivem Eingriff würde schon viel bewirken, ohne das Grundkonzept des AURs infrage zu stellen.

 

[Grimba]

Ich persönlich könnte mir eine Art Trust-Ranking vorstellen, bei dem Maintainer für die höchsten Ränge auch bestimmte Auflagen erfüllen müssen. Und gleichzeitig wäre es imho wohl sinnvoll, legacy Pakete nicht sofort ins AUR zu kippen, sondern eine Art Zwischenrepository einzuführen, um Abhängigkeiten ins AUR zu verringern. Und Cachy, welche ja viele Pakete aus dem AUR nehmen und selbst hosten, müssten diese natürlich dann auch entsprechend sichten.

 

[teufelernie]

@Kaito Kariheddo AUR ist wirklich sehr einfach geworden, genau wie Flatpak.
Softwareverwaltung auf, Settings, Drittanbieter und ab gehts. Hier ein Screeny von Manjaro.

❯ pacman -Qm
arduino-ide 2.3.7-1
botan2 2.19.5-2
docker-compose-bin 5.0.1-4
electron30-bin 30.5.1-2
gtk2 2.24.33-5
gtkspell 2.0.16-9
libgadu 1.12.2-14
libpurple 2.14.14-4
linux-firmware-meta 20260410-1
minecraft-launcher 1:2.1.3-3
pidgin 2.14.14-3
polychromatic 0.9.6-1
teamviewer 15.76.5-1
xnviewmp 1.11.2-1

 

[mibbio]

Ich denke, diese Art von minimalinvasivem Eingriff würde schon viel bewirken, ohne das Grundkonzept des AURs infrage zu stellen.

Das Problem ist eigentlich auch gar nicht das AUR und wie es aktuell funktioniert. Denn Arch Linux ist nun mal eine Distribution, die sich explizit an fortgeschrittene Linux-Nutzer richtet, die wissen was sie tun. Entsprechend sollte Arch-Nutzer auch bewusst sein, was das AUR ist, welche Risiken es birgt und dass man dortige PKGBUILDS vor dem Bauen/Installieren/Updaten prüft.

Auf der Hauptseite vom AUR steht auch direkt am Anfang:

DISCLAIMER: AUR packages are user produced content. Any use of the provided files is at your own risk.

Zum Problem wird die ganze Angelegenheit erst durch Distribution wie CachyOS oder auch Manjaro, die halt auch unerfahrene Nutzer zu Arch holt. Denn bei allem zusätzlichem Komfort ist es halt immer noch Arch Linux (nur mit buntem Schleifchen drum). Durch den Ruf als performantes Spiele-Linux werden halt auch Linuxneulinge oder Umsteiger von Windows aufCachyOS aufmerksam oder es ist auch ständig bei Influencer/Content Creator präsent und damit bei deren Zuschauern. Dazu die komfortablen GUIs für das Paketmanagement mit integrierten AUR-Support machen die Leute, insbesondere Neulinge, dann schlicht keine Gedanken darüber, dass das AUR keine offizielle, kuratierte Paketquelle ist.

 

[Grimba]

Ach in Arch gab es seit Jahr und Tag AUR helper wie yaourt, yay und paru, die immer schon sehr verbreitet waren und womit es sich die Leute leicht gemacht haben. Dafür brauchts kein Manjaro oder Cachy. Diesen Profi Anstrich halte ich für ein altes Märchen. Auch der Profi findet alles immer manuell bis ins kleinste Detail zu prüfen lästig. Wenn die These stimmen würde, dürfte ja kein Arch User betroffen sein oder meinetwegen nur Neulinge, weil die Profis das ja alle direkt gemerkt haben. Das wage ich dann doch zu bezweifeln. Selbst ohne AUR Helper.

 

[DefinitivEinBot]

Puhh...ich blieb verschont von den bösen Paketen. Das Script hat nichts in meinem System gefunden. Ich habe aber auch nur 3 Pakete auf dem AUR installiert. Die werden alle noch gepflegt. crow, Tidal-hifi und trizen. Ich lade genau wegen solchen Sachen lieber alles aus offiziellen Repos der jeweiligen Distro. Trotzdem richtig shice.

Hat es hier aus dem Forum eigentlich jemanden erwischt?

 

[Photon]

@mibbio: Ich habe diese Position sehr oft im Manjaro-Forum gesehen und finde sie wirklich nicht gut. Ich habe dort Probleme mit Pamac im Zusammenhang mit AUR-Updates beschrieben und Lösungen für Pamac vorgeschlagen, habe dann von mehreren Nutzern als Antwort bekommen: Das AUR wird von Manjaro nicht unterstützt und richtet sich nur an fortgeschrittene Benutzer. Dann frage ich ich jedoch: Wieso bietet man als vorinstallierte Standard-Paketverwaltung eine an, die AUR-Zugriff anbietet, um dann Nutzer, die damit Probleme haben zurechtzuweisen? Übrigens hat der Pamac-Entwickler meine Vorschläge am Ende dankenswerterweise umgesetzt. Sowohl dem erfahrenen als auch dem unerfahrenen Nutzer sind so Steine aus dem Weg geräumt worden, die nach der Ansicht mancher Manjaro-Forennutzer lieber dort liegen gelassen worden wären.

Ich würde mich als mittelmäßig erfahrener Linux-Nutzer bezeichnen, ich pflege selbst diverse AUR-Pakete und verstehe im Großen und Ganzen die Prozesse, die da im Hintergrund ablaufen. Aber ich würde gerne möglichst wenig Zeit in die Systemadministration stecken und nicht jede PKGBUILD überprüfen, bevor ich das Paket installiere, auch wenn ich das prinzipiell könnte. Und ich finde es auch nicht verwerflich, wenn weniger erfahrene Nutzer von der Software-Vielfalt des AURs profitieren möchten. Die Verantwortung liegt natürlich beim Benutzer, aber wenn es Mittel und Wege gibt, das AUR sicherer machen, dann würde ich es sehr begrüßen, wenn das passieren würde.

 

[Tanzmusikus]

Ich bin auch der Meinung, dass hier nachgeschärft werden muss. Was Arch angeht, wird das AUR ja regelrecht als Feature gesehen.

Ja, das Chaotic-AUR wurde bereits darauf aufmerksam & hatte eine generelle Überprüfung per Signaturen eingeführt. Deshalb ist das Chaotic-AUR dies mal nicht betroffen.

Für das "normale" AUR wäre es ebenfalls erforderlich, Sicherheitsschranken aufzubauen.👍

 

[dev/random]

Die Absicht kann ich gut verstehen. Leider wird es nicht möglich sein, User Repositories gut abzusichern und gleichzeitig einfach nutzbar zu halten.
Je mehr Sicherheitsmaßnahmen umgesetzt werden (wie z.B. bei Chaotic), desto höher wird der Aufwand für AUR Paket-Maintainer. Oder es bleibt beim ganzen Prüf-Aufwand der Benutzer
Zudem geht es bei Software-Quellen gaz generell um Vertrauen. Das wird sich nur mit technischen Maßnahmen kaum erreichen lassen. Je mehr Software mit möglichst wenig Aufwand verteilt werden soll, um so wahrscheinlicher kann das System missbraucht werden, um Malware einzuschleusen. Der Google Play Store ist dafür ein gutes Beispiel.

Ich würde es begrüßen, wenn im AUR höhere Sicherheitsmaßnahmen eingeführt werden, angefangen mit einer verbindlichen Nominierung für Paket-Maintainer. Aber das würde die Vielfalt zweifellos einschränken.

Um ein konkretes Beispiel zu nennen: Im AUR findet sich auch die AusweisApp, die meiner Meinung nach höheren Sicherheitsanforderungen genügen sollte als ein minecraft-launcher oder kodi plugins

 

[Tanzmusikus]

Je mehr Sicherheitsmaßnahmen umgesetzt werden (wie z.B. bei Chaotic), desto höher wird der Aufwand für AUR Paket-Maintainer. Oder es bleibt beim ganzen Prüf-Aufwand der Benutzer

Vielleicht ist ein guter Mittelweg machbar ...

 

[Der Puritaner]

Zumal sich CachyOS momentan bei Gamern großer Beliebtheit erfreut ist das ein Ärgernis, aber App Downloads aus nicht verifizierten stellen bergen immer Risiken und so wie ich es verstanden habe birgt AUR vor allem ein großes Risiko das wäre so ähnlich wie wenn der Microsoft Store für alle Entwickler offen wäre und jeder seine Apps dort einfach hoch laden könnte.
Es braucht also eine Überprüfung der Apps, ohne dem geht es nicht bei der Größe der Community.
Ich selbst habe kein Arch Linux System, sondern ein Linux Mint.

 

[Alexander2]

Das AUR kannst du in der WIndows Welt auch grob damit vergleichen, das "jeder" einfach so überall im internet auf was klicken kann, das angeboten wird zum Download und nutzen.

Es ist ziemlich frei zugänglich...
Und es wird explizit darauf hingewiesen, das man daher auch mal Schadcode bekommen kann und man das SELBST checken soll.

Man könnte jetzt halt sinnvollerweise sagen, das alle Tools die eine AUR integration haben bei der aktivierung oder der ersten AUR Paketinstallation auch diese Hinweise bringt.

Würde man nun auch noch jede PKGBUILD dem Nutzer immer automatisch zum einsehen vor die Füße werfen würden wieder auch argumente kommen, das das doch alles viel komplizierter ist, das könne kein normaler Nutzer verstehen, das ist unter Windows alles viel einfacher und so weiter man kennt es ja.

Komfort vs Sicherheit/Sicherheitshinweise oder gar direkt Blockaden(umgehbare)

 

[~XxX~]

Das wäre mit Linux nicht passiert.

Doch wäre es. Aber hier wird schnell, nachvollziehbar und offen reagiert (nicht wie bei anderen Systemen)