Az Arch Linux épp az egyik legsúlyosabb biztonsági incidenssel küzd, ami az utóbbi időben az Arch User Repository-t érte. A karbantartók folyamatosan takarítják a rosszindulatú csomagfrissítések hullámát ezen a közösség által karbantartott platformon.

Fontos, hogy az AUR továbbra is elérhető, a csomagok letölthetők. Új fiókot viszont nem lehet regisztrálni: a regisztrációs oldal 503 Service Unavailable hibát ad vissza. Bár erről nem jelent meg hivatalos bejelentés, erősen utal rá, hogy az Arch ideiglenesen lezárt egy belépési pontot, amíg tart a takarítás.

Mindez a június 12-én kiadott hivatalos Arch Linux figyelmeztetés után történt, amely „nagyszámú” rosszindulatú csomag-örökbefoglalásról és frissítésről számolt be az AUR-ban. A karbantartók most a rosszindulatú commitok felkutatásán dolgoznak, próbálják megakadályozni az újabbak feltöltését, és közben egy tartós megoldást készítenek elő.

Az Arch arra is figyelmeztetett, hogy a felhasználók problémákat tapasztalhatnak az új fiókok létrehozásánál, a csomagfrissítéseknél, az örökbefoglalásoknál és az új csomagok létrehozásánál, amíg tart a beavatkozás.

A helyzet sajnos jóval nagyobbnak tűnik, mint ahogy az első hírek alapján látszott. Kezdetben több mint 400 érintett AUR-csomagról szóltak a nyilvános jelentések, később a közösségi nyilvántartások már 1500 fölé emelték ezt a számot. A végleges adat még változhat, ahogy a karbantartók tovább vizsgálják és törlik a rosszindulatú módosításokat.

Az AUR mérete is magyarázza, miért nehéz gyorsan kordában tartani az incidenst. A tároló saját statisztikái szerint jelenleg 107 405 csomagot tart nyilván, köztük 13 051 árva csomagot. Az elmúlt hét napban 273 új csomagot adtak hozzá, 5 575 csomagot frissítettek, és 141 968 regisztrált felhasználót listáz.

A beszámolók szerint a támadók az AUR csomag-örökbefogadási rendszerét használták ki, ahol az árva csomagokat új karbantartók vehetik át. Az érintett csomagokhoz rosszindulatú frissítéseket töltöttek fel, amelyek időnként külső payloadokat húztak le a build vagy a telepítés során.

Felhasználói oldalról a legfontosabb tanács továbbra is az, hogy mindenki nézze át a PKGBUILD fájlokat és a telepítési scripteket, mielőtt AUR-csomagot telepít vagy frissít, különösen akkor, ha a csomagnak nemrég új karbantartója lett, vagy váratlan frissítést kapott. Akik mostanában frissített csomagokat telepítettek, ellenőrizzék a csomag előzményeit, és nézzék át, milyen parancsok futnak a build és a telepítés során.

Várható, hogy az incidens újraindítja a vitát az AUR védelmi mechanizmusairól. Szóba kerülhetnek szigorúbb szabályok az árva csomagok örökbefogadására, várakozási idők, mielőtt új fiókok csomagot küldhetnek be vagy vehetnek át, illetve a hirtelen tulajdonosváltások alaposabb ellenőrzése.

Jelenleg az Arch Linux igyekszik működőképesen tartani az AUR-t, miközben blokkolja vagy korlátozza azokat a műveleteket, amelyek lehetővé tennék a kampány folytatását. Az új regisztrációk letiltása a leglátványosabb jele annak, hogy a projekt aktív védelmi lépéseket tesz, miközben a karbantartók eltávolítják a rosszindulatú csomagokat.