Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Arch Linux отключил регистрацию новых учётных записей в AUR"	+/–
Сообщение от opennews (ok), 15-Июн-26, 20:58
Проект Arch Linux приостановил регистрацию новых учётных записей в репозитории AUR (Arch User Repository) из-за непрекращающейся активности по подстановке вредоносного кода в пакеты и вандализма . После первой массовой атаки разработчики Arch Linux попытались защититься от проблемы через выборочные фильтры, но атакующие обошли их через замену npm на bun и обфускацию вызова своего кода в функции post_install. Возможность регистрации будет возвращена после реализации более действенной защиты... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65691
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Ivan_83 (ok), 15-Июн-26, 20:58	+7 +/–
По паспорту давать коммитить, и хату в залог пусть оставляют, если зловреда захотят закомитить - хата отойдёт проекту :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #6, #14, #38

2. Сообщение от Аноним (2), 15-Июн-26, 21:09	+/–
> В репозитории насчитывается 141967 зарегистрированных пользователей и 69 сопровождающих пакеты (в предыдущую неделю было 140949 пользователей и 69 сопровождающих). Это что за левые цифры? repology показывает там 21k мантейнеров.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #47

3. Сообщение от Аноним (3), 15-Июн-26, 21:10	+4 +/–
>Для захвата пакетов атакующие использовали предоставляемую в AUR возможность принимать сопровождение над пакетам, оставшихся без сопровождающих и имеющих статус "orphaned". Подобная возможность предоставлялась без ограничений и проверок любому желающему. Может стоит отключить возможность каждому брать контроль над сопровождением заброшенного пакета, который может просто заваляться в системе пользователя и обновиться, принеся такую радость в дом? Почему вообще по всей логике если кто то хочет начать сопровождение пакета, он не обязан создавать отдельный форк и пускай его пользователи сами проверяют и устанавивают по новой? Что за глупейший вектор атаки, вот после такого внатуре пойдешь к красношляпникам собирать пакеты.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #43

4. Сообщение от Аноним (4), 15-Июн-26, 21:12	+/–
А почему нельзя бесхозные пакеты просто заморозить без возможности восстановления доступа?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7, #27

5. Сообщение от Аноним (4), 15-Июн-26, 21:13	–2 +/–
> возможность предоставлялась без ограничений и проверок любому желающему Сами сделали - сами расплачиваются.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #51

6. Сообщение от Аноним (6), 15-Июн-26, 21:16    Скрыто ботом-модератором	–2 +/–
На самом деле, им там все правильно мужик писал. Не юзать этот дистр, или, как минимум, аур.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

7. Сообщение от Аноним (7), 15-Июн-26, 21:16	+1 +/–
А если найдётся желающий сопровождать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от Аноним (14), 15-Июн-26, 21:23	+1 +/–
> Подобная возможность предоставлялась без ограничений и проверок любому желающему. ...но что-то пошло не по плану? 😂 Действительно, что может случиться, если давать любому васяну доступ к баш-портянкам, которые тысячи арчеводов запускают не глядя, и даже не предупреждать этих арчеводов о смене маинтайнера? 🤔 > После первой массовой атаки разработчики Arch Linux попытались защититься от проблемы через выборочные фильтры, но атакующие обошли их через замену npm на bun и обфускацию вызова своего кода в функции post_install. Баш-портянщики против JS-портянщиков! Эта битва будет легендарной! 🤣 Пока что счет 0:3.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44

9. Сообщение от Аноним (9), 15-Июн-26, 21:23	–5 +/–
Судя по описанию, подобные "возможности" часто в последнее время предоставляются пользователям ядра Linux
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от Аноним (14), 15-Июн-26, 21:32	+/–
> Что за глупейший вектор атаки, вот после такого внатуре пойдешь к красношляпникам собирать пакеты. Ну так все by design, разве нет? Написано же "DISCLAIMER: AUR packages are user produced content. Any use of the provided files is at your own risk. " Как-то странно загружать и запускать на своей машине баш-портянки от левых васянов - и при этом петь про какие-то "вектора атаки". В том же Ubuntu PPA и загружаемый исходный код, и собранные из него пакеты для пользователей подписаны PGP. Что мешало ауропомойке сделать также - загадка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #15, #29, #46

13. Сообщение от 12yoexpert (ok), 15-Июн-26, 21:47	+/–
ты бы ещё на заборе прочитал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #16

14. Сообщение от Аноним (14), 15-Июн-26, 21:53	+3 +/–
> По паспорту давать коммитить Ты вот шутишь, а в коммерческой разработке по сути так и присходит испокон веков. Прежде чем васян с улицы закомитит в условный macOS, ему придется пройти многоступенчатый процесс фильтрации и найма, с проверками адекватности и компетенции, с заключанием контракта и т.п. А тут прямо опенсорсное бинго: одни васяны сделали помойку, держащуюся на честном слове, другие васяны в нее гадят, а третьи из нее уплетают за обе щеки, не глядя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #18, #28, #48

15. Сообщение от Аноним (15), 15-Июн-26, 21:57	+/–
>подписаны PGP Не проблема вообще. Ключики для PGP можно и заменить. Обновление сломается, а вот если кто заново захочет добавить, то у него ничего и не пикнет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #17

16. Сообщение от Аноним (2), 15-Июн-26, 22:02	+/–
На заборе написано в новости. Repology считает честных мантейнеров по пакетам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #30

17. Сообщение от Аноним (14), 15-Июн-26, 22:08	+3 +/–
> Обновление сломается В этом как бы и смысл, что пакеты от нового васяна не будут ставиться моча.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #20

18. Сообщение от Аноним (18), 15-Июн-26, 22:15	+/–
> проверками адекватности а индусячий код за 3 копейки, это как так вышло? > А тут прямо опенсорсное бинго в городе общественным местом считается абсолютно все, что не является чьейто частной территорией, покрай мере именно за нарушение общественного порядка тебя привлекут если тебе вздумается где-то, кроме своей спальни устроить пефоманс, но даже в твоей собственной спальне есть ограничения, например, громкость твоих ночьных пефомансов. можешь попробовать поехать в антарктиду и попытаться там устроить чтото общественно опасное, если будешь пингвинам рассказывать про 4й рейх и агетировать, то наверное на это закроют глаза, а вот если начнешь создавать биологическое оружие, то статью найдут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #19, #26, #41

19. Сообщение от Аноним (14), 15-Июн-26, 22:18	+/–
>> проверками адекватности > а индусячий код за 3 копейки, это как так вышло? А что тут неадекватного? Потому и индусячий, что за 3 копейки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #22

20. Сообщение от Аноним (14), 15-Июн-26, 22:20	+/–
* молча
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

22. Сообщение от Аноним (18), 15-Июн-26, 22:35	+/–
обьясняю, компания обязана по закону соблюдать правила, например хранить продукты в холодильнике, иначе она ничем не отличается от бабки агафьи которая по ночам потрошит крыс и продает днем беляши. в части it правил для компаний не так уж много, да - еще пока it-шницы бабками не стали, но осталось не так много времени, и мы видим как гос-ва все дружно бросились регулировать, то что само работало. потому что часики тикают, а мозги стареют и деградируют, и никакие сроки и штрафы сьеденого беляша не отменят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #23

23. Сообщение от Аноним (14), 15-Июн-26, 22:55	+4 +/–
Сорян, но я так и непонял, что ты хотел сказать этим словесным поносом. Ты можешь внятно мысль сформулировать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

26. Сообщение от Ivan_83 (ok), 15-Июн-26, 23:07	–3 +/–
Хоть это и оффтоп, но как показывают события последних лет...власти обычно не очень готовы к ситуациям когда это не 1-3 человека с одной коробкой запасов и 1-3 стволами. Как только кончится "омон" и размотают участковых в оцеплении - то местами это последняя и единственная линия обороны. В моей текущей локации такое ощущение что хватит и сотни хорошо организованных, подготовленных и оснащённых чтобы всё изменить... Органы умеют работать только против небольших групп, не организованых, плохо мотивированных и почти не оснащённых. Даже поготовленные и оснащённые одиночки их часто ставят в сильно неловкие позы, что в ЕС что в РФ. А про биологическое - так его и дома можно сварить, а когда кто то узнает - будет уже поздно что то делать. Да и честно говоря комманд которые способны на такое реагировать во многих странах просто нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #60

27. Сообщение от Ivan_83 (ok), 15-Июн-26, 23:09	+/–
Потому что это организационный тупик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

28. Сообщение от Ivan_83 (ok), 15-Июн-26, 23:12	+/–
Так чуваку то за работу платят хотя бы, и фильтр там изначально был чтобы отсеивать желающих получать зарплату от умеющих работать работу. А тут кто то решил что можно безнаказанно пограбить в общественном месте. Овет тоже простой и понятный, хотя и со спецификой локации в которой найдут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

29. Сообщение от Аноним (29), 15-Июн-26, 23:18	–1 +/–
Подписи ничего не изменят. По умолчанию AUR используется ручками. Адекватные аур-хелперы протаскивают по диффам pkgbuild'a в интерактивном режиме и изменение чего-то кроме хешей очень заметно. Неадекватные будут добавлять новые ключи неглядя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #32, #34

30. Сообщение от Аноним (30), 15-Июн-26, 23:59	+/–
В новости официальные данные с сайта https://aur.archlinux.org/ Registered Users     141966 Package Maintainers     69
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #36

31. Сообщение от OldCat (ok), 16-Июн-26, 00:00	+/–
Добили энтузиастов из сообщества :(. Отрыжка критической массы (популярности дистра). А у нас на Void (тьфу-тьфу-тьфу!) всё норм. Иногда неплохо быть Неуловимым Джо ;). Жаль, что мы уже в тридцатке Дистровотча.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57

32. Сообщение от Аноним (14), 16-Июн-26, 00:06	+1 +/–
> Подписи ничего не изменят. Ну как же не изменят, если файлы от левого человека не будут проходить проверку подписи? > Неадекватные будут добавлять новые ключи неглядя. С фига ли? Потому что ты так сказал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #37

33. Сообщение от Аноним (33), 16-Июн-26, 00:54	–1 +/–
"Проект Arch Linux приостановил регистрацию новых учётных записей в репозитории AUR (Arch User Repository) из-за непрекращающейся активности по подстановке вредоносного кода в пакеты и вандализма с оскорблениями на русском языке" В смысле а как это так?!!!!1111 AUR же независимый от Arch Linux неофициальный проект, к которому Arch Linux официально никакого отношения не имеет, чуть что так сразу об этом трубилось с каждого утюга. А тут опа!... и полномочия вдруг появились приостанавливать что-то в абсолютно левом неофициальном независимом проекте. Чудеса! xD
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

34. Сообщение от Умный (?), 16-Июн-26, 01:05	+/–
А какие норм? Самый популярный yay вроде не форсирует по умолчанию показывать pkgbuild
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #39, #45

35. Сообщение от Аноним (35), 16-Июн-26, 02:19	–1 +/–
Сопровождающих гоораздо больше. 69 - trusted users. Ха, уже устаревшее понятие.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58, #70

36. Сообщение от Аноним (36), 16-Июн-26, 02:47	+1 +/–
Слишком мало Может это trusted users?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

37. Сообщение от iPony128052 (?), 16-Июн-26, 03:30	+/–
> Ну как же не изменят, если файлы от левого человека не будут проходить проверку подписи? Почему от левого? Вот я плохой. Найду открытый софт, с которым не супер-пупер в репах. Соберу и выложу в PPA. Специально, чтобы со следующим апдейтом уже что-то подсунуть. Если сразу, то улов то минимальный. Что помешает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

38. Сообщение от Андрей (??), 16-Июн-26, 06:04	+/–
Или так - по паспорту и/или с действенной проверкой, или это просто та же файлопомойка, просто "освящённая" орелом "опенсорс"! Это надо же - более 100 тыс. пакетов! Реально необходимое и достаточное число, на мой взгляд, для серьёзного дистрибутива Linux - где-то на порядок меньше. Т.е. официальный репозиторий арча, плюс-минус. А с помойкой AUR надо что-то делать! Тут уже никакое "окропление святой водой оперсорс" не поможет, имхо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #56

39. Сообщение от Аноним (29), 16-Июн-26, 07:23	+/–
pikaur по умолчанию показывает Современные вроде все в diff умеют, но какие из коробки не знаю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

40. Сообщение от Аноним (40), 16-Июн-26, 07:31	+1 +/–
Продам аккаунт на AUR, писать в ЛС. Количество ограничено!
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Аноним (-), 16-Июн-26, 07:45	+/–
> а индусячий код за 3 копейки В рунете часто вижу пренебрежение к индусскому коду, это что высокомерие или комплексы? зависть к их продуктивности? это откуда берется?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #50, #65

42. Сообщение от Аноним (48), 16-Июн-26, 08:13	+1 +/–
Любая CBUHbЯ может гадить в открытых подъездах.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54, #64

43. Сообщение от Модель безопасности (?), 16-Июн-26, 08:20	–2 +/–
Может стоит перестать комментировать то, что не понимаешь? Это репозиторий не бинарных пакетов, а сценариев сборки. На них нельзя так просто обновиться. Уж точно не стандартным пакетником (pacman). Там на главной прямым текстом указано, что следует проверять скрипт перед сборкой. Такова выбранная модель безопасности. Людям, которые не понимают, что значит это словосочетание лучше, действительно, идти к красношляпникам, только не собирать пакеты, а послушно пользоваться уже собранными и не выпендриваться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

44. Сообщение от Аноним (48), 16-Июн-26, 08:23	+/–
Я тебе уже задних PROходов в раст-крейты напихал. Выдыхай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

45. Сообщение от Аноним (48), 16-Июн-26, 08:25	+/–
Самый популярный - makepkg.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

46. Сообщение от Модель безопасности (?), 16-Июн-26, 08:29	+/–
"Помойки" у вас, опеннет-эксперт-безопасников, в головах. Потому что никто не мешает сопроводителю git-репозитория на AUR подписывать каждый git-commit. (Некоторые так и делают.) Полученные пакеты также могут быть подписаны, добавлением одной строчки в PKGBUILD.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

47. Сообщение от небесный ученый (ok), 16-Июн-26, 08:39	+/–
69 это доверенные/официальные мантейнеры, которые и в официальной репе поддерживают пакеты, хотя и в ауре тоже могут держать пакеты https://wiki.archlinux.org/title/Package_Maintainers https://archlinux.org/people/package-maintainers/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

48. Сообщение от Аноним (48), 16-Июн-26, 08:40	+1 +/–
Видали мы эти ваши легаси-конюшни, содержимое которых наймиты, прошедшие корополагерные фильтрации, уплетают за обе щеки, почитая маной небесной. А сообщества всегда строились на доверии. Это требует мужества. Это сила, а не слабость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

50. Сообщение от Аноним (-), 16-Июн-26, 08:52    Скрыто ботом-модератором	–1 +/–
> это откуда берется? спок, это их база, возвышаться унижая других...жалкие
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

51. Сообщение от Аноним (48), 16-Июн-26, 09:14	+/–
Хакер и солонка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

52. Сообщение от Аноним (52), 16-Июн-26, 09:42    Скрыто ботом-модератором	–1 +/–
Нужно отделить старшеклассников 10 и 11 класса, от средних и младших классов.
Ответить | Правка | Наверх | Cообщить модератору

53. Сообщение от небесный ученый (ok), 16-Июн-26, 09:53	+1 +/–
> AUR же независимый от Arch Linux неофициальный проект, к которому Arch Linux официально никакого отношения не имеет, чуть что так сразу об этом трубилось с каждого утюга. не галлюцинируй Arch Linux предоставляет инфраструктуру и общее администрирование AUR, но вот наполнение хранилища это по большей части лежит на плечах сообщества, это как писочница, можешь играться сколько хочешь, но начнёшь гадить, бухать и слушать громко музыку то тебя "попросят". https://wiki.archlinux.org/title/Arch_User_Repository > Пользовательский репозиторий Arch (Arch User Repository, AUR) — поддерживаемое сообществом хранилище программ для пользователей Arch Linux. Содержит описания пакетов (файлы PKGBUILD), которые позволяют скомпилировать пакет из исходников утилитой makepkg и затем установить его с помощью pacman. AUR был создан с целью организации совместного доступа к новым пакетам, которые были созданы сообществом, а также чтобы ускорить добавление популярных пакетов в репозиторий extra.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

54. Сообщение от Аноним (54), 16-Июн-26, 10:04    Скрыто ботом-модератором	+1 +/–
В Европе не принято гадить в подъезде. Такое я видел сплошь и рядом в России.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #59

55. Сообщение от Frestein (ok), 16-Июн-26, 10:15	+/–
Не обновляемся пока всё не устаканится. Пис.
Ответить | Правка | Наверх | Cообщить модератору

56. Сообщение от ProfessorNavigator (ok), 16-Июн-26, 10:18	+/–
> А с помойкой AUR надо что-то делать! Зачем? Везде, где только можно, написано - проверяйте, что вы ставите. Всё на ваш страх и риск. Для вменяемых людей этого достаточно, а остальных - не жалко. Если есть сомнения в PKGBUILD из AUR, свой написать - вообще не проблема.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

57. Сообщение от Frestein (ok), 16-Июн-26, 10:19	+/–
С вокистами на крыше не такой уж и норм
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

58. Сообщение от Frestein (ok), 16-Июн-26, 10:22	+/–
Булшыт. Это пользователи которые как раз таки рассматривают заявки от других юзеров и могут дать по шапке, их круг строго ограничен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

59. Сообщение от небесный ученый (ok), 16-Июн-26, 10:25	–2 +/–
> В Европе не принято гадить в подъезде. Такое я видел сплошь и > рядом в России. опять сказочники набежали лет 20 назад в это еще можно было бы хоть как-то поверить, но не замечать прибытие миллионов "культурных" африканских мигрантов в Европу это надо уметь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #63

60. Сообщение от Аноним (60), 16-Июн-26, 10:30	+/–
> В моей текущей локации такое ощущение что хватит и сотни хорошо организованных, подготовленных и оснащённых чтобы всё изменить... Если ты про pin-доссию, то уже пробовали) Ну когда толпа реднеков решила с--ть ценное с капитолия. > Даже поготовленные и оснащённые одиночки их часто ставят в сильно неловкие позы, что в ЕС что в РФ. Ой, типа в штатах мало шuзов-одиночек, которые решают "изменить мир" путем покупки АР-15? Несколько я помню - первые по кол-ву массшутингов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

63. Сообщение от 12yoexpert (ok), 16-Июн-26, 10:47	–1 +/–
ага, ещё миллиард на подходе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

64. Сообщение от 12yoexpert (ok), 16-Июн-26, 10:47	–2 +/–
занятно, что открытые подъезды, как и CBUHbи, остались только в аналоговнетной
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

65. Сообщение от Аноним (65), 16-Июн-26, 11:07	+/–
Скорее всего словосочетание «индусский код» просто приобрело черты нарицательного значения, как например «испанский стыд».
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

66. Сообщение от Аноним (66), 16-Июн-26, 11:27    Скрыто ботом-модератором	+/–
Просто выкинуть AUR, на том проблемы закончатся.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #68

67. Сообщение от oditynet (?), 16-Июн-26, 12:27	+/–
https://aur.archlinux.org/packages/2fa-unix Что-то меня не взломали. Странно.... Может Надо актуальность пакета держать при себе и при окончании разработки удалять его из AUR?
Ответить | Правка | Наверх | Cообщить модератору

68. Сообщение от небесный ученый (ok), 16-Июн-26, 12:27	+1 +/–
> Просто выкинуть AUR, на том проблемы закончатся. это сравни с тем чтобы на opennet-е запретить писать анонимам, ты согласен на это ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

70. Сообщение от Аноним (70), 16-Июн-26, 13:33	+/–
Какие именно заявки, user Frestein? Создать новый (доселе не существующий) пакет и сопровождать этот пакет в АУР может (мог до этих событий) любой, кто смог зарегистрироваться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема