Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsArch Linux unter Feuer: Über 1.600 Pakete im AUR kompromittiert
Angreifer haben in den vergangenen Stunden das Arch User Repository (AUR) missbraucht und Schadsoftware in den Installationsskripten versteckt. Die Arch-Linux-Entwickler sind dabei, die betroffenen Pakete zu löschen und die beteiligten Accounts zu sperren. Nutzer regulärer Arch-Linux-Pakete sind nicht betroffen.
Zeigt mal wieder schön, warum man AUR-PGKBUILDs nicht unbesehen installieren sollte
In der Hinsicht ist es definitiv kritisch zu sehen, dass zum einen Distros wie Manjaro, Endeavour oder Cachy es auch jenen ermöglichen, ein Arch-based OS zu nutzen, welche sich nicht tiefer damit befassen wollen/können, und es zum anderen AUR-Helper so einfach machen, AUR-Pakete ohne weitere Ahnung zu installieren. Noch schlimmer finde ich da nur noch, dass das AUR über grafische Paketmanager wie Pamac gänzlich "reibungslos" verwendet werden kann - in meinen Augen komplett unverantwortlich.
Andererseits auch wiederum eine eher verschwindent geringe Anzahl, von den insgesamt knapp 110k Paketen im AUR.
Entscheidend ist letzlich, wie gefragt die betroffenen Pakete bei den Nutzern sind und entsprechend verbreitet die installiert sind. Wenn man berücksichtigt, wie die Kompromittierung eingeschleust wurde, dürfte das nur eher wenig gefragte Pakete betreffen.
Denn es wurden ja nicht aktiv gepflegte Pakete durch gekaperte Accounts der jeweiligen Maintainer übernommen, sondern es betrifft nur Pakete, die als "orphaned" geflagt sind. Das sind Pakete, die schon seit einer gewissen Zeit nicht mehr im AUR gepflegt werden. Bei so geflaggten AUR-Paketen ist per Design vorgesehen, dass jemand die weitere Pflege übernimmt und sich entsprechend als neuer Maintainer einträgt. Aber wenn ein Paket als orphaned geflagt ist (evtl. sogar schon länger), dürfte es auch generell recht wenig Bedarf an dem Paket geben.
Erwähnenswert ist an dieser Stelle das von Garuda Linux betriebene Chaotic AUR (AUR Binary Builds), bei dem Sicherheitsmaßnahmen anscheinend gegriffen haben.
BTW kann man Garuda mit CachyOS Kernel laufen lassen und hat per Default automatische Snapshots bei Updates. 😊
Vielen Dank für die News. Was für nette Menschen es doch immer wieder gibt. Hoffentlich wird das nicht noch mehr werden. Zum Beispiel bei Flatpacks. Bei Snaps kann man sich auch nicht so sicher sein. Da gibt es wohl auch viel Müll.
Abhänigkeitsbasierte Repo's ich sag es schon seit Jahren. Eine tickende Zeitbombe. Das nächste mal ist ggf kein Microsoft Mitarbeiter dabei der schlimmeres verhindert... (xyz.util)
ui, wild, aber war auch irgendwie klar dass sowas immer häufiger passieren wird. Komprimierte Paket oder Browser addons, denen nach Jahren der Zuverlässigkeit schadcode beigefügt wird…
Auch unter Linux sollte man vorsichtig sein was man installiert, was man curlt oder welche Befehle man ausführt.
Deswegen nicht immer alles blind mit yay installieren!
Repo runterladen, PKGBUILD anschauen, dependencies anschauen, Signatur prüfen (falls es mal eine gibt...).
Und NPM-Seuche meiden wo es nur geht...
Vielen Dank für die News. Ich habe zum Glück wenige Pakete (um die 3, glaube ich) aus dem AUR. Werde ich dann Sonntag mal gegenprüfen mit dem von euch verlinkten Skript. Bin gerade nicht zu Hause, aber ich meine, gestern habe ich das System nicht aktualisiert.
Wie bekommt man denn heraus, ob beim letzten Update ein Paket dabei war, das betroffen ist? Was muss man nach der eventuellen Installation eines solchen tun?
Edit: genauer lesen statt überfliegen wäre gut gewesen, es ist ja ein Skript verlinkt
Gut, nicht betroffen. Hatte auch nur 4 AUR drauf. Gefiel mir eh nicht so 100%ig das System, hab meine 4 jetzt ersetzt. 2 waren dann doch schon als Repo verfügbar, die anderen 2 sind jetzt halt Flatpaks.
Ich bin hier etwas Überrascht das es so lange gedauert hat, hatte erst überlegt op ich XPipe installiere, habs aber dann gelassen und brauch jetzt nicht schauen.
Leider fliegen ja manchmal Pakete aus dem Repo und landen im AUR. Gerade bei alten Installationen dürften sich viele solche nie aus dem AUR installierten AUR-Programme finden^^
