Arch Linux стикається з одним з найбільших інцидентів безпеки

Arch Linux зараз переживає серйозний інцидент безпеки в Arch User Repository. Підтримувачі продовжують очищати хвилю зловмисних оновлень пакетів в цій спільноті. Важливо зазначити, що AUR залишається онлайн, і пакети доступні. Однак реєстрація нових облікових записів недоступна, оскільки реєстраційна сторінка повертає помилку 503 Service Unavailable. Це означає, що Arch тимчасово заблокував вхідну точку під час очищення.

Офіційне попередження про зловмисні пакети

Цей крок слідує за офіційним попередженням Arch Linux, яке датоване 12 червня. У ньому йшлося про “високий обсяг” зловмисних прийомів і оновлень пакетів у AUR. Підтримувачі намагаються виявити зловмисні коміти та запобігти подальшим оновленням, готуючи постійне рішення.

Проблеми з обліковими записами та оновленнями

Arch також попередив, що користувачі можуть зіткнутися з проблемами при створенні нових облікових записів, оновленнях пакетів, прийомах та їх створенні під час реагування на інцидент. На жаль, цей інцидент, здається, набагато більший, ніж вказувалося раніше. Спочатку повідомлялося про 400 уражених AUR-пакетах, але пізніше спільнота підрахувала їх вже понад 1,500.

Розмір AUR та складнощі контролю інциденту

Масштаб AUR пояснює, чому інцидент важко швидко локалізувати. За статистикою репозиторію, AUR на даний момент містить 107,405 пакетів, включаючи 13,051 сиріт. Також було додано 273 пакети за останні сім днів і 5,575 пакетів оновлено за той же період, при цьому зареєстровано 141,968 користувачів.

Зловмисні оновлення в AUR

Згідно з повідомленнями, кампанія зловживала системою прийому пакетів AUR. Зловмисні оновлення було надіслано на уражені пакети, іноді підтягуючи зовнішні навантаження під час збірки або встановлення.

Рекомендації для користувачів AUR

Користувачам радять переглядати файли PKGBUILD і скрипти встановлення перед установкою або оновленням пакетів AUR, особливо у випадку недавньої зміни підтримувача або несподіваного оновлення. Користувачі, які встановили нещодавно оновлені пакети, повинні перевірити історію пакета та команди, виконані під час збірки або встановлення.

Майбутні обговорення щодо захисту AUR

Очікується, що цей інцидент відновить обговорення щодо заходів безпеки AUR. Можливі області включають більш жорсткі правила для прийому сиріт, затримки перед створенням нових облікових записів і більш ретельний перегляд раптових змін власності.

Станом на сьогодні

Наразі Arch Linux підтримує AUR в робочому стані, заблокувавши чи обмеживши дії, які можуть дозволити продовження кампанії. Відсутність нових реєстрацій є найяскравішим сигналом, що проект вживає заходів для локалізації інциденту, поки підтримувачі очищають зловмисні пакети.