Linux-Anwender verweisen oft auf die Vorzüge des automatischen Paket-Managements ihrer Distribution, insbesondere wenn es um das schnelle Schließen von Lücken im Kernel und in Anwendungen geht. Die University of Arizona weist in einem Bericht allerdings darauf hin, dass die Paket-Manager Sicherheitslücken aufweisen, mit denen manipulierte Distributions-Mirror-Server dem Client alte Pakete mit Sicherheitslücken unterschieben können. Und dass es relativ einfach ist, einen eigenen Mirror-Server für eine Distribution zu etablieren, haben die Forscher gleich mit demonstriert.