News Arch Linux unter Feuer: 400 Pakete im AUR kompromittiert

[Zornica]

seh ich das richtig, dass das innerhalb von 2 Tagen entdeckt wurde? zumindest impliziert der script text das?

 

[JustAnotherTux]

Ach in Arch gab es seit Jahr und Tag AUR helper wie yaourt, yay und paru, die immer schon sehr verbreitet waren und womit es sich die Leute leicht gemacht haben. Dafür brauchts kein Manjaro oder Cachy. Diesen Profi Anstrich halte ich für ein altes Märchen. Auch der Profi findet alles immer manuell bis ins kleinste Detail zu prüfen lästig. Wenn die These stimmen würde, dürfte ja kein Arch User betroffen sein oder meinetwegen nur Neulinge, weil die Profis das ja alle direkt gemerkt haben. Das wage ich dann doch zu bezweifeln. Selbst ohne AUR Helper.

AUR Helper wie yay und paru erlauben dir bei jedem update das diff anzuschauen damit kann man dann sehr leicht sehen was sich geändert hat ansonsten bei der installation einmal das Script genau anschauen.
Ich mache das jedenfalls schon immer so.

Auch würde ich das AUR nicht mit flatpak vergleichen beim AUR kann sich jeder Registrieren und Scripte hochladen, es ist eher eine Platform zum austauschen von Installationsscripten. Um das abzusichern wäre es notwendig nur noch trusted usern zu erlauben scripte hochzuladen oder zu markieren welche Scripte von trusted usern stammen.

Ergänzung (Heute um 06:00)

Als Windows Nutzer lese ich solche Nachrichten, versuche irgendwie zu verstehen über was geredet wird & sage dann zu mir selbst "WTF, das tust du dir niemals an".

Naja das AUR ist wie ähnlich wie Github nur ist es noch leichter dort was hochzuladen.

Als einfacher User würde ich nur die offiziellen repos verwenden, ansonsten flatpak und snap die haben bessere Kontrollen.

 

[Caramon2]

https://www.phoronix.com/news/Arch-Linux-AUR-More-Than-1500

Cited was this list that puts the number of malware-affected packages at 1,579! Tons of software in this user-maintained Arch Linux user repository were impacted by this nasty security incident:

https://md.archlinux.org/s/SxbqukK6IA

 

[OpticalFiber]

Es sind mehr als 400 Hier

 

[mibbio]

Um diese Helper zu installieren musstest du aber auch erst einmal ins Wiki und zumindest einmal die AUR-Seite durchlesen um das Paket manuell zu klonen, bauen und installieren.

Bei CachyOS oder Manjaro ist halt bereits ein AUR-Helper vorinstalliert bzw. eine GUI für den Paketmanager, die AUR-Support integriert hat. Bei diesen GUIs merkt der Nutzer u. U. noch nicht mal, ob ein Paket gerade aus dem offiziellen Repo oder dem AUR installiert wird.

 

[Alexander2]

Da sind halt auch definitiv Namen dabei, da wird der ein oder andere User wohl sich das auch installieren.
Keepass fr → wobei ich denke das das komplett überflüssig ist, die Lokalisierung dürfte ja im standard bereits gegeben sein.

gnome shell extensions
Compiz ... (gibt bestimmt noch Leute, die auf ihrem Desktop solche Effekte installieren, wo kompatibel)

Und vorallem auch
Linux Cahyos Kernel Varianten ..
Networkmanager

 

[Caramon2]

Linux Cahyos Kernel Varianten ..

In der in #63 verlinkten Liste werden auch 12 "dkms", u. a. "bcachefs-kernel-dkms-git"

 

[Grimba]

AUR Helper wie yay und paru erlauben dir bei jedem update das diff anzuschauen

Ja richtig, aber wenn ihr 2 beiden wirklich glaubt, dass das jeder immer macht, oder diejenigen, die solche Helper nicht nutzen immer brav erstmal das PKGBUILD sichten, weil man in Arch ja so ein fortgeschrittener User ist, dann würde ich euch eine gewisse Naivität bzgl. der Menschheit unterstellen. Ich glaube euch jedenfalls nicht, dass ihr das ausnahmslos immer macht. Ich glaube zudem auch nicht, dass selbst wenn man das immer macht, einem sowas auch immer auffällt. Dass die Verantwortlichkeiten beim AUR geklärt sind, heißt nicht, dass das so, wie es ist, eine gute Idee ist, die nicht verändert werden muss.

Wo ich aber völlig einverstanden bin, ist die Kritik an den GUIs, auch wenn ich die gar nicht kenne. Wenn die wirklich ohne jede Hürde AUR zuschalten, dann ist das definitiv ein Problem, aber nicht das alleinige.

 

[mibbio]

Networkmanager

Also von Networkmanager dürfte im AUR höchsten irgendeine spezielle Variante sein. Denn Networkamanager ist unter Linux auf dem Desktop der Quasi-Standard für die Verwaltung & Konfiguration der Netzwerkverbindungen und damit praktisch bei jeder Distribution in den regulären Paketquellen.

 

[Derduke]

@mibbio das ist richtig oder es ist eine Aktuellere version als in den repos
auch ein grund Aur zu verwenden, wenn man nicht warten will bis es im testing oder stable ist.

 

[sedot]

Finde es gut wie sich die Arch Community engagiert um das Problem zu lösen. Lasst mal etwas Liebe da. Auch wenn ihr ein Derivat oder kein AUR nutzt.

 

[Photon]

Compiz ... (gibt bestimmt noch Leute, die auf ihrem Desktop solche Effekte installieren, wo kompatibel)

Ja, hier! Was ist mit Compiz, auch betroffen?

 

[Alexander2]

Da in der Liste die gepostet wurde, da sind die einzelnen Paketnamen natürlich. Ich habe die Liste gerade nicht vor mir, könnten enizelne effekte sein.

 

[cbtaste420]

Letzter Stand 1595 kompromittierte Packages.

Update: Es sind inzwischen 1621.

curl -s https://cscs.pastes.sh/raw/aurvulnlist20260611.txt | wc -l

 

[Termy]

ist so eine Sache so einfach, wie Pakete aus solchen Quellen heutzutage in verschiedenen Distributionen zur Verfügung gestellt werden. Ich bin auch der Meinung, dass hier nachgeschärft werden muss. Was Arch angeht, wird das AUR ja regelrecht als Feature gesehen.

Das ist der Fehler der Distros und Helper, die auf diese Idee kommen. Arch Linux muss da gar nix "nachschärfen". Es wir d im Wiki und an allen offiziellen Stellen immer wieder und sehr deutlich darauf hingewiesen, dass man sich die PKGBUILDs durchlesen und nicht blind installieren soll.

Wenn Distros, die sich an weniger technik-affine User richten, meinen, das AUR einbinden zu müssen, dann sind diese auch für die Absicherung zuständig. Siehe z.b. Garuda/ChaoticAUR.

Das hochgelobte Arch-Wiki ist voll mit Anleitungen, die die Installation von AUR Paketen fest mit einschließen.

Ja, mit der ganz dicken und roten Warnung

Warning
Carefully check the PKGBUILD, any .install files, and any other files in the package's git repository for malicious or dangerous commands. If in doubt, do not build the package, and seek advice on the forums or mailing list. Malicious code has been found in packages before. [4] [5]. A few tools, such as traurAUR and ks-aur-scannerAUR, are available to assist users in scanning PKGBUILD content; however, they are not substitutes for careful manual verification.

direkt auf der entsprechenden Wiki-Seite

Genauso zählt auch das "Paket wandert in das AUR"-Argument nicht im geringsten. Das betrifft auch wieder nur jene, die entgegen JEDER offiziellen Anleitung und JEDEM offiziellen Ratschlag blind über einen AUR-Helper alles draufhauen, was nicht bei 5 auf den Bäumen ist.

Und gleichzeitig wäre es imho wohl sinnvoll, legacy Pakete nicht sofort ins AUR zu kippen, sondern eine Art Zwischenrepository einzuführen

Nochmal: es wird nichts ins AUR gekippt!
Was du meinst ist, dass inoffizielle AUR-Helper installierte Pakete, die sie nicht (mehr) in den Repos finden, automatisch im AUR suchen. Dieses Verhalten kann man den Helpern durchaus ankreiden - das hat aber nicht das geringste damit zu tun, dass Arch Linux in irgend einer Form Pakete ins AUR "abschieben" würde!

 

[Grimba]

Ja, mit der ganz dicken und roten Warnung

Aha. Zeig sie mir. Wo ist die rote Warnung? https://wiki.archlinux.org/title/PRIME

Dort wird z.B. AUR Content verlinkt. Deine ganz dicke rote Warnung ist ein farbloser kleiner Exponent namens AUR am Paketnamen. Das findest du überall so.

 

[AlphaKaninchen]

Abhänigkeitsbasierte Repo's ich sag es schon seit Jahren. Eine tickende Zeitbombe. Das nächste mal ist ggf kein Microsoft Mitarbeiter dabei der schlimmeres verhindert... (xyz.util)

Ich glaube du vermischt hier zwei Dinge...

Selbst wenn wir keine Abhängigkeitsbasierten Repo's hätten, also z.B. wir gehen ostree + flatpak, dann hat die Software selbst ja noch immer Abhängigkeit, xz util wäre dann halt direkt im ostree Image.

 

[Alexander2]

@Grimba Du bist da auf der Falschen Seite Grimba, das ist nur über Informationen zu Prime. die Seite wurde bereits Verlinkt wo eingehende gleich auf der Strartseite sind und weitergehende Warnungen die direkt verlinkt sind auf der Starsteite.

 

[Grimba]

Du bist da auf der Falschen Seite Grimba

Da will ich widersprechen. Das Szenario hier ist nämlich geradezu simpel: Nutzer googlet nach einer Anleitung einen Sachverhalt in seiner Distribution, hier Prime und Arch, und landet direkt dort. Das dürfte ja nun nicht so ungewöhnlich sein.

 

[Hyourinmaru]

Um diese Helper zu installieren musstest du aber auch erst einmal ins Wiki und zumindest einmal die AUR-Seite durchlesen um das Paket manuell zu klonen, bauen und installieren. Erst danach kannst du die Helper auch nutzen.

Ähmmm, ja nee. Das gilt vllt. für Vanilla Arch, aber nicht für die Arch Derivate.

EndeavourOS:

CachyOS:

Manjaro Linux:

Unter drei der beliebtesten Arch Linux-Derivaten lassen sich yay und unter zwei wahlweise auch paru installieren, da die Distro-Maintainer die AUR-Helper in ihre eigenen Repositorien aufnehmen und somit via pacman leicht zu installieren sind. Wenn sie nicht sogar teilweise schon vorinstalliert sind wie es bei EndeavourOS mit yay und CachyOS mit paru der Fall ist.