Das sind ja wieder bedrückende Nachrichten: Das AUR wurde (und wird?) offensichtlich systematisch mt Schadcode infiziert ( fosstopia ,  heise , linuxnews ). Dies betrifft also NICHT die Pakete der Arch Distribution selber! Einmal mehr zeigt dieser Fall:

• verfolgt stets die aktuellen Sicherheitswarnungen
• benutzt möglichst KEINE externen Repositories
• fertigt stets ein Backup eures Systems an, damit ihr nicht im schlimmsten Fall neu installieren müsst (Seit ein paar Jahren fahre ich wunderbar mit fsarchiver ( UU ) - für MausschuberInnen gibt es auch eine QT-Variante ( UU ), die ich aber bei der doch recht simplen Verfahrensweise mit dem Konsolentool fsarchiver nicht einsetze.)

So habe ich mir mal vor Jahren mit dem Debian Multimedia-Repository die Paketdatenbank eines Systems zerlegt. In diesem Fall hat dann wohl der Betreiber des Repo selber Mist gebaut, so dass ich dieses Repo heute nicht mehr benutze (auch weil ich es nicht mehr benötige). Und: Selbst beim Original-Debian-Repo hat mir mal ein scheinbar durch die Qualitätskontrolle gerutschtes Paket ebenfalls die Paketdatenbank geschrottet. Und: Wie ich ja kürzlich erfahren musste, kann man sich sogar mit dem Aufräumtool Bleachbit die Paketliste schrotten! Hier zeigt sich sehr deutlich:

• externe Repos sind keine vertrauenswürdige Paketquelle
• speziell das AUR ist hochgradig gefährlich, da dies nicht der erste Angriff auf das Repo ist ( linuxnews )
• weiter gedacht: Was ist, wenn solche Angriffe auf die Repos der neuartigen Paketformate gelingt? Dann hilft noch nicht einmal ein Wechsel der Distribution, weil kaputte/verseuchte Pakete aus Flatpak & Co dann überall gleichermaßen "funktionieren". Auch dies ist für mich ein Grund, konsequent bei traditionell gebauten Paketen zu bleiben!
• hinzu kommt: Arch Linux ist eine Rollende Distribution. D.h. hier ändern sich laufend Schnittstellen. Wer also kann garantieren, dass Pakete aus einem externen Repository auf der sich laufend ändernden Grundlage der Distribution dauerhaft lauffähig sind?

AUR wei - wie kaputt ist Linux inzwischen?!

Wie ich gerade lese ( Linux Magazin ), handelte es sich um (ein) verweiste(s) Pakete(e). Dies stützt meine geäußerte These, dass externe Repos eine konzeptionelle Gefahr darstellen. Wenn eine Release-Distro aus dem Support raus läuft, dann ist das bekannt und man kann entsprechend upgraden oder neu installieren. Aber wenn ein externes Repo veraltet, dann bekommen der/die AnwenderIn im schlimmsten Falle nichts davon mit. Und wenn ein externes Repo sogar gekapert wird, dann bekommt man dies im schlimmsten Falle (wie genau diesem hier!) erst dann mit, wenn es knallt. Ich rate daher dringend vom Einsatz externer Repositories ab!

Und nun zeigt sich auch noch, dass die Angriffe weiter gehen und so tiefgreifend sind, dass einige Stimmen dazu raten, dass AUR (temporär) abzuschalten ( linuxnews ). Darüber hinausgehend ist wohl eine konzeptionelle Neuaufstellung dringend vonnöten, um solche Vorfälle zukünftig endlich zu vermeiden. AUR wei!

Jetzt ist es soweit: der maximale Schaden ist erreicht und das AUR wurde für Neuregistrierungen temporär abgeschaltet ( linuxnews ). Immerhin: es gibt einen "aur malware check", um zu überprüfen, ob das eigene System kompromittiert wurde ( github ). Liest man aber weiter, dann zeigt sich, wie tiefgreifend kaputt die AUR-Systeme jetzt sind und dass man die Installationen - wenn überhaupt - nur mit großem Aufwand wieder sauber bekommt ( PCGH ). Der vermutlich bessere Weg ist einmal alles nach /dev/null und neu installieren (zur Zeit besser ohne AUR). AUR weia!