Supplychain aanval op Arch’ AUR

[MKe]

Waarschuwing als je Arch of een op Arch gebaseerde distro gebruikt. Er is al een paar dagen een supply chain attack aan de gang op pakketten in de User Repositories (AUR). Een kleine 2000 pakketten zijn al geïdentificeerd als besmet.  Er wordt aangeraden om AUR pakketten voorlopig niet te upgraden. Arch’ eigen repositories zijn veilig.
Houd de fora en Arch nieuws berichten in de gaten.

[Pjotr]

Bedankt voor de waarschuwing.

Ik moet er niet aan denken wat er zou gebeuren als Ubuntu's Universe of Multiverse hiervan het slachtoffer zou worden.... 

[M_aD]

Het is niet de eerste keer dat AUR besmette pakketten bevat. Met malware geïnfecteerde pakketten heeft al zeker twee keer eerder plaatsgevonden in AUR.
Ik gebruik enkel software van de officiële pakket bronnen, geen PPA's, COPR of AUR.

[Pjotr]

Wat ik me wel afvraag: hoe verschilt het beheer van de AUR, van het beheer van Ubuntu's Universe, die immers ook door de gemeenschap wordt beheerd?

Met andere woorden: zouden Ubuntu en Mint net zo makkelijk door zo'n aanval kunnen worden getroffen, of is het beheer bij Universe beter geregeld?

[MKe]

Wat ik me wel afvraag: hoe verschilt het beheer van de AUR, van het beheer van Ubuntu's Universe, die immers ook door de gemeenschap wordt beheerd?

Met andere woorden: zouden Ubuntu en Mint net zo makkelijk door zo'n aanval kunnen worden getroffen, of is het beheer bij Universe beter geregeld?

Ik denk dat de AUR uniek is omdat het geen pakketten repo is, maar alleen een verzameling bouw instructies.

Het probleem bij AUR is dat je zonder enige controle beheerder van een “orphan” pakket kunt worden. Ik denk niet dat dat het geval is bij Universe (correct me if wrong). Gebruik van de AUR is dus echt een kwestie van weten waar je mee bezig bent, dus alle make files nalopen en begrijpen, en zelfs dan is het een beetje een gok, omdat je niet altijd alles kunt weten.

[Pjotr]

Het probleem bij AUR is dat je zonder enige controle beheerder van een “orphan” pakket kunt worden. Ik denk niet dat dat het geval is bij Universe

Nee, dat is in handen van de MOTU's (Masters Of The Universe):
https://wiki.ubuntu.com/MOTU

Er is dus (gelukkig) wel toezicht op wat er in Universe komt.

[erik1984]

Nu weet ik wel dat AUR niet de officiële bronnen zijn dus vergelijkbaar met PPAs of andere bronnen van derde partijen buiten de pakketbeheerders van Ubuntu/Debian om. Maar op zo'n moment ben ik wel blij met mijn keuze voor saaie *buntu. Juist omdat het allemaal wat langzamer gaat qua updaten van pakketten en de controle (omdat er nog een beheerder tussenzit ipv direct uit de bron) is de kans op iets als dit gewoon kleiner. Nog altijd niet 100% uitgesloten helaas.