forum.opennet.ru - "Arch Linux отключил регистрацию новых учётных записей в AUR" (16)

"Arch Linux отключил регистрацию новых учётных записей в AUR"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
Сообщение от opennews (ok), 15-Июн-26, 20:58
Проект Arch Linux приостановил регистрацию новых учётных записей в репозитории AUR (Arch User Repository) из-за непрекращающейся активности по подстановке вредоносного кода в пакеты и вандализма . После первой массовой атаки разработчики Arch Linux попытались защититься от проблемы через выборочные фильтры, но атакующие обошли их через замену npm на bun и обфускацию вызова своего кода в функции post_install. Возможность регистрации будет возвращена после реализации более действенной защиты... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65691
Ответить \| Правка \| Cообщить модератору

Оглавление

По паспорту давать коммитить, и хату в залог пусть оставляют, если зловреда захо, Ivan_83 (ok), 20:58 , 15-Июн-26, (1) +5

А почему нельзя бесхозные пакеты просто заморозить без возможности восстановлени, Аноним (4), 21:12 , 15-Июн-26, (4) –1

Скрыто модератором, Аноним (7), 21:16 , 15-Июн-26, (7)

Скрыто модератором, Аноним (6), 21:16 , 15-Июн-26, (6) –1
Ты вот шутишь, а в коммерческой разработке по сути так и присходит испокон веков, Аноним (14), 21:53 , 15-Июн-26, (14)

Это что за левые цифры repology показывает там 21k мантейнеров , Аноним (2), 21:09 , 15-Июн-26, (2)

ты бы ещё на заборе прочитал, 12yoexpert (ok), 21:47 , 15-Июн-26, (13)

На заборе написано в новости Repology считает честных мантейнеров по пакетам , Аноним (2), 22:02 , 15-Июн-26, (16)

Может стоит отключить возможность каждому брать контроль над сопровождением забр, Аноним (3), 21:10 , 15-Июн-26, (3) +4

Ну так все by design, разве нет Написано же DISCLAIMER AUR packages are user , Аноним (14), 21:32 , 15-Июн-26, (10)

Не проблема вообще Ключики для PGP можно и заменить Обновление сломается, а во, Аноним (15), 21:57 , 15-Июн-26, (15)

Сами сделали - сами расплачиваются , Аноним (4), 21:13 , 15-Июн-26, (5)

Судя по описанию, подобные возможности часто в последнее время предоставляются, Аноним (9), 21:23 , 15-Июн-26, (9) –2

но что-то пошло не по плану 128514 Действительно, что может случиться, есл, Аноним (14), 21:23 , 15-Июн-26, (8) +1
Скрыто модератором, Аноним (11), 21:44 , 15-Июн-26, (11)
Любая c-нья может г-дuть в открытом пoдъeзде , Аноним (11), 21:45 , 15-Июн-26, (12)

Сообщения [Сортировка по времени | RSS]

1. "Arch Linux отключил регистрацию новых учётных записей в AUR" +5 +/–

Сообщение от Ivan_83 (ok), 15-Июн-26, 20:58

По паспорту давать коммитить, и хату в залог пусть оставляют, если зловреда захотят закомитить - хата отойдёт проекту :)

Ответить | Правка | Наверх | Cообщить модератору

4. "Arch Linux отключил регистрацию новых учётных записей в AUR" –1 +/–

Сообщение от Аноним (4), 15-Июн-26, 21:12

А почему нельзя бесхозные пакеты просто заморозить без возможности восстановления доступа?

Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором +/–

Сообщение от Аноним (7), 15-Июн-26, 21:16

А если найдётся желающий сопровождать?

Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором –1 +/–

Сообщение от Аноним (6), 15-Июн-26, 21:16

На самом деле, им там все правильно мужик писал. Не юзать этот дистр, или, как минимум, аур.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

14. "Arch Linux отключил регистрацию новых учётных записей в AUR" +/–

Сообщение от Аноним (14), 15-Июн-26, 21:53

> По паспорту давать коммитить
Ты вот шутишь, а в коммерческой разработке по сути так и присходит испокон веков. Прежде чем васян с улицы закомитит в условный macOS, ему придется пройти многоступенчатый процесс фильтрации и найма, с проверками адекватности и компетенции, с заключанием контракта и т.п.
А тут прямо опенсорсное бинго: одни васяны сделали помойку, держащуюся на честном слове, другие васяны в нее гадят, а третьи из нее уплетают за обе щеки, не глядя.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Arch Linux отключил регистрацию новых учётных записей в AUR" +/–

Сообщение от Аноним (2), 15-Июн-26, 21:09

> В репозитории насчитывается 141967 зарегистрированных пользователей и 69 сопровождающих пакеты (в предыдущую неделю было 140949 пользователей и 69 сопровождающих).
Это что за левые цифры? repology показывает там 21k мантейнеров.

Ответить | Правка | Наверх | Cообщить модератору

13. "Arch Linux отключил регистрацию новых учётных записей в AUR" +/–

Сообщение от 12yoexpert (ok), 15-Июн-26, 21:47

ты бы ещё на заборе прочитал

Ответить | Правка | Наверх | Cообщить модератору

16. "Arch Linux отключил регистрацию новых учётных записей в AUR" +/–

Сообщение от Аноним (2), 15-Июн-26, 22:02

На заборе написано в новости. Repology считает честных мантейнеров по пакетам.

Ответить | Правка | Наверх | Cообщить модератору

3. "Arch Linux отключил регистрацию новых учётных записей в AUR" +4 +/–

Сообщение от Аноним (3), 15-Июн-26, 21:10

>Для захвата пакетов атакующие использовали предоставляемую в AUR возможность принимать сопровождение над пакетам, оставшихся без сопровождающих и имеющих статус "orphaned". Подобная возможность предоставлялась без ограничений и проверок любому желающему.
Может стоит отключить возможность каждому брать контроль над сопровождением заброшенного пакета, который может просто заваляться в системе пользователя и обновиться, принеся такую радость в дом? Почему вообще по всей логике если кто то хочет начать сопровождение пакета, он не обязан создавать отдельный форк и пускай его пользователи сами проверяют и устанавивают по новой? Что за глупейший вектор атаки, вот после такого внатуре пойдешь к красношляпникам собирать пакеты.

Ответить | Правка | Наверх | Cообщить модератору

10. "Arch Linux отключил регистрацию новых учётных записей в AUR" +/–

Сообщение от Аноним (14), 15-Июн-26, 21:32

> Что за глупейший вектор атаки, вот после такого внатуре пойдешь к красношляпникам собирать пакеты.
Ну так все by design, разве нет? Написано же "DISCLAIMER: AUR packages are user produced content. Any use of the provided files is at your own risk. "
Как-то странно загружать и запускать на своей машине баш-портянки от левых васянов - и при этом петь про какие-то "вектора атаки".
В том же Ubuntu PPA и загружаемый исходный код, и собранные из него пакеты для пользователей подписаны PGP. Что мешало ауропомойке сделать также - загадка.

Ответить | Правка | Наверх | Cообщить модератору

15. "Arch Linux отключил регистрацию новых учётных записей в AUR" +/–

Сообщение от Аноним (15), 15-Июн-26, 21:57

>подписаны PGP
Не проблема вообще. Ключики для PGP можно и заменить. Обновление сломается, а вот если кто заново захочет добавить, то у него ничего и не пикнет.

Ответить | Правка | Наверх | Cообщить модератору

5. "Arch Linux отключил регистрацию новых учётных записей в AUR" +/–

Сообщение от Аноним (4), 15-Июн-26, 21:13

> возможность предоставлялась без ограничений и проверок любому желающему
Сами сделали - сами расплачиваются.

Ответить | Правка | Наверх | Cообщить модератору

9. "Arch Linux отключил регистрацию новых учётных записей в AUR" –2 +/–

Сообщение от Аноним (9), 15-Июн-26, 21:23

Судя по описанию, подобные "возможности" часто в последнее время предоставляются пользователям ядра Linux

Ответить | Правка | Наверх | Cообщить модератору

8. "Arch Linux отключил регистрацию новых учётных записей в AUR" +1 +/–

Сообщение от Аноним (14), 15-Июн-26, 21:23

> Подобная возможность предоставлялась без ограничений и проверок любому желающему.
...но что-то пошло не по плану? 😂
Действительно, что может случиться, если давать любому васяну доступ к баш-портянкам, которые тысячи арчеводов запускают не глядя, и даже не предупреждать этих арчеводов о смене маинтайнера? 🤔
> После первой массовой атаки разработчики Arch Linux попытались защититься от проблемы через выборочные фильтры, но атакующие обошли их через замену npm на bun и обфускацию вызова своего кода в функции post_install.
Баш-портянщики против JS-портянщиков! Эта битва будет легендарной! 🤣 Пока что счет 0:3.

Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором +/–

Сообщение от Аноним (11), 15-Июн-26, 21:44

Любая с-нья может г-дить в открытом подъезде.

Ответить | Правка | Наверх | Cообщить модератору

12. "Arch Linux отключил регистрацию новых учётных записей в AUR" +/–

Сообщение от Аноним (11), 15-Июн-26, 21:45

Любая c-нья может г-дuть в открытом пoдъeзде.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+5 +/–
Сообщение от Ivan_83 (ok), 15-Июн-26, 20:58
По паспорту давать коммитить, и хату в залог пусть оставляют, если зловреда захотят закомитить - хата отойдёт проекту :)
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Arch Linux отключил регистрацию новых учётных записей в AUR"	–1 +/–
	Сообщение от Аноним (4), 15-Июн-26, 21:12
	А почему нельзя бесхозные пакеты просто заморозить без возможности восстановления доступа?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. Скрыто модератором	+/–
	Сообщение от Аноним (7), 15-Июн-26, 21:16
	А если найдётся желающий сопровождать?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. Скрыто модератором	–1 +/–
	Сообщение от Аноним (6), 15-Июн-26, 21:16
	На самом деле, им там все правильно мужик писал. Не юзать этот дистр, или, как минимум, аур.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	14. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (14), 15-Июн-26, 21:53
	> По паспорту давать коммитить Ты вот шутишь, а в коммерческой разработке по сути так и присходит испокон веков. Прежде чем васян с улицы закомитит в условный macOS, ему придется пройти многоступенчатый процесс фильтрации и найма, с проверками адекватности и компетенции, с заключанием контракта и т.п. А тут прямо опенсорсное бинго: одни васяны сделали помойку, держащуюся на честном слове, другие васяны в нее гадят, а третьи из нее уплетают за обе щеки, не глядя.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
Сообщение от Аноним (2), 15-Июн-26, 21:09
> В репозитории насчитывается 141967 зарегистрированных пользователей и 69 сопровождающих пакеты (в предыдущую неделю было 140949 пользователей и 69 сопровождающих). Это что за левые цифры? repology показывает там 21k мантейнеров.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от 12yoexpert (ok), 15-Июн-26, 21:47
	ты бы ещё на заборе прочитал
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (2), 15-Июн-26, 22:02
	На заборе написано в новости. Repology считает честных мантейнеров по пакетам.
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+4 +/–
Сообщение от Аноним (3), 15-Июн-26, 21:10
>Для захвата пакетов атакующие использовали предоставляемую в AUR возможность принимать сопровождение над пакетам, оставшихся без сопровождающих и имеющих статус "orphaned". Подобная возможность предоставлялась без ограничений и проверок любому желающему. Может стоит отключить возможность каждому брать контроль над сопровождением заброшенного пакета, который может просто заваляться в системе пользователя и обновиться, принеся такую радость в дом? Почему вообще по всей логике если кто то хочет начать сопровождение пакета, он не обязан создавать отдельный форк и пускай его пользователи сами проверяют и устанавивают по новой? Что за глупейший вектор атаки, вот после такого внатуре пойдешь к красношляпникам собирать пакеты.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (14), 15-Июн-26, 21:32
	> Что за глупейший вектор атаки, вот после такого внатуре пойдешь к красношляпникам собирать пакеты. Ну так все by design, разве нет? Написано же "DISCLAIMER: AUR packages are user produced content. Any use of the provided files is at your own risk. " Как-то странно загружать и запускать на своей машине баш-портянки от левых васянов - и при этом петь про какие-то "вектора атаки". В том же Ubuntu PPA и загружаемый исходный код, и собранные из него пакеты для пользователей подписаны PGP. Что мешало ауропомойке сделать также - загадка.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
	Сообщение от Аноним (15), 15-Июн-26, 21:57
	>подписаны PGP Не проблема вообще. Ключики для PGP можно и заменить. Обновление сломается, а вот если кто заново захочет добавить, то у него ничего и не пикнет.
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
Сообщение от Аноним (4), 15-Июн-26, 21:13
> возможность предоставлялась без ограничений и проверок любому желающему Сами сделали - сами расплачиваются.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Arch Linux отключил регистрацию новых учётных записей в AUR"	–2 +/–
	Сообщение от Аноним (9), 15-Июн-26, 21:23
	Судя по описанию, подобные "возможности" часто в последнее время предоставляются пользователям ядра Linux
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+1 +/–
Сообщение от Аноним (14), 15-Июн-26, 21:23
> Подобная возможность предоставлялась без ограничений и проверок любому желающему. ...но что-то пошло не по плану? 😂 Действительно, что может случиться, если давать любому васяну доступ к баш-портянкам, которые тысячи арчеводов запускают не глядя, и даже не предупреждать этих арчеводов о смене маинтайнера? 🤔 > После первой массовой атаки разработчики Arch Linux попытались защититься от проблемы через выборочные фильтры, но атакующие обошли их через замену npm на bun и обфускацию вызова своего кода в функции post_install. Баш-портянщики против JS-портянщиков! Эта битва будет легендарной! 🤣 Пока что счет 0:3.
Ответить \| Правка \| Наверх \| Cообщить модератору

11. Скрыто модератором	+/–
Сообщение от Аноним (11), 15-Июн-26, 21:44
Любая с-нья может г-дить в открытом подъезде.
Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
Сообщение от Аноним (11), 15-Июн-26, 21:45
Любая c-нья может г-дuть в открытом пoдъeзде.
Ответить \| Правка \| Наверх \| Cообщить модератору