Smiee SmieesenJun 14

Eh echt jetzt.... mir werden jetzt 1936 AUR Pakete angezeigt, die kompromitiert wurden.
Alter... das ist ganz schön der Hammer! Aber bis jetzt kein Treffer bei mir.

Stellt sich die Frage, warum das erst jetzt passiert ist?
Ich verwende auch yay und sehe mit die PKGBUILD Dateien auch nicht an.

Das könnte doch auch mit #fdroid passieren? Oder #izzyondroid... Eigentlich könnte das jedes freie Repo mit Community Betreung treffen?
Oder?
Was tun?

#Archlinux #AUR #Manjaro #cachyos #endeavouros

Show threaddcreJun 15
@smiee Das Problem hat jedes Freie Repository - Kontrolle und Prüfung ist da schwierig. Für mich heißt die ganze AUR-Malware dass ich jetzt erstmal die Finger von solcher Software lasse und mich auf pacman- bzw. Flatpak-Pakete beschalränke.
Show threadSmiee SmieesenJun 15
@dcre
Ja, wahrscheinlich das Beste....
Das Problem sind bei mir einige Software, auf die ich leider nicht verzichten möchte. Zum Beispiel das Tuxedo Control Center und die Treiber dazu oder Spotify. Das würde mir schwer fallen.
Show threadPhotorJun 15

@smiee @dcre

Selbe Situation hier. Auch Tuxedo-Laptop und daher einige AUR-„Pakete“ installiert. Wäre gut, wenn sich @tuxedocomputers dazu äußern würde - die können am besten beurteilen, ob da was manipuliert wurde.

PS: hatte auch anderes aus dem AUR installiert. Alles, was nicht nötig ist, deinstalliert. Der Rest wird erstmal nicht geupdatet, bis man mehr weiß. AUR-Helper als default Paket-Manager hat auch ausgedient.

Und dann überlegen, ob neu aufsetzen nötig ist oder nicht.🫣

PS2: hab zwar BtrFs aber die letzten Tage zu viel (de-)installiert und daher keinen ausreichend alten Snapshot mehr 😤

Show threadSmiee Smieesen

@Photor @dcre
Ich warte jetzt erstmal ab und update seit dem Bekannt werden keine Pakete aus dem AUR.
Außerdem ich prüfe jeden Tag 2x, ob da etwas hoch kommt, was auf meinem Rechner aus dem AUR ist.

Ich halte es mal wie Wilhem Busch:
"Hoffen wir das Beste, lieber Leser...."

Jun 15 at 6:42pmWeb