LINUX.ORG.RU
ФорумTalks

А кто сказал, что в бинарных дистрах нет патчей-закладок в софте?

 


0

1

Это в гентушечке патчи лежат отдельно от собственно сорцов пакета, скачиваемых обычно прямо с сайта/репы его авторов. А можно ли верить всяким дебианам с арчами, не говоря уже про всякие калкулейты и убунты с манжарами – это большой вопрос.

★★★★★
Ответ на: Неправильный вопрос от DonkeyHot

нужно спрашивать не о наличии закладок, а о выгоде их автора от злоупотребления твоими приборами.

Если закладка в дистре, то все юзеры дистра становятся уязвимы, не зависимо от того, есть автору закладки польза от конкретного юзера или нет. А во-вторых, польза есть всегда: как минимум ботнет.

dimgel ★★★★★
() автор топика

https://wiki.debian.org/ReproducibleBuilds
Есть вот такая тема. Ну и за почти 30 лет существования Debian закладки, добавленные мантейнерами умышленно, обнаружены не были. Впрочем как и в Слаке, Ред Хате, Сусе и прочих старых дистрибутивах.

Polugnom ★★★★★
()
Последнее исправление: Polugnom (всего исправлений: 2)
Ответ на: комментарий от Polugnom

Да не в тысячу, а поболе на самом деле… Но там закладки все ламповые, родные, от разработчика. :)

Да и на иной google-chrome найдётся ungoogled-chromium.

dimgel ★★★★★
() автор топика

Может я чего-то опять не понимаю - и в Debian, и в Arch, и в Void практически одна и та же схема: ссылка на tar первоисточника + свои заплатки и параметры сборки.

У кого-то больше заплаток, у кого-то меньше. Немного разные параметры сборки иногда.

Если бы мне хотелось понервничать на тему закладок - я бы наверняка нервничал не на сопровождающих, а скорее на авторов.

Могу наврать - но кажется что у Void чуть больше информации прилетает в RSS при изменении пакетов, чем в RSS Arch. У последнего, как правильно ChecngeLog типа «change upstream version». А чего там в апстирм накрутили - сам иди и смотри.

Toxo2 ★★★★
()
Ответ на: комментарий от justin_case

Так это то, о чём я написал - утечка аккаунта разработчика для зеркала гитхаба. Подпись дерева ключами с этим не связана.

А проверка подписи через rsync у меня как-то через раз работает да и то сам способ синхронизации медленный. Поэтому использую специальное зеркало github для синхронизации. Через git шустро касается, особенно если depth=1 в настройках репы указать.

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от Harald

Это нужно ещё получить доступ к редактированию ресурса, где лежит хеш, или хотя бы скомпрометировать его. У лорчика хотя бы https включен, в отличие от его ссылок. Впрочем, у саахрикту, скорее всего пароль аля «qwerty», так что да, подменить хеш, отредактировав его пост, не проблема.

WitcherGeralt ★★
()
Последнее исправление: WitcherGeralt (всего исправлений: 1)
Ответ на: комментарий от WitcherGeralt

Это нужно ещё получить доступ к редактированию ресурса,

или быть провайдером на пути скачивания этого файла и хэша

Harald ★★★★★
()
Ответ на: комментарий от Harald

Чего? Я ему хеши прямо в теме на лорчике предлагал размещать. Ты смысл не улавливаешь, хеши в файлике рядом кладут для проверки целостности, а на альтеративном ресурсе для проверки подлинности.

WitcherGeralt ★★
()
Ответ на: комментарий от Harald

Файл с хэшами подписан, набор подписей зашивается в систему в момент установки.

Правда в механизме скачивания пакетов по http тоже бывают уязвимости, например CVE-2018-1000849 и CVE-2019-3462.

kmeaw ★★★
()
Ответ на: комментарий от kmeaw

Угу, @Polugnom уже кидал эту ссылку. Весьма неожиданная для меня картинка, но забавная.

dimgel ★★★★★
() автор топика
Ответ на: комментарий от grem

Подпись дерева ключами с этим не связана.

Значит была какая то другая тема, я обновляюсь редко. Помню только что в ньюсах проскакивало что-то вроде у нас случилась такая то хрень и поэтому будут ключи, сделайте emerge -1 portage. После прочтения было желание проверить «не поел ли говна лично», когда понял что это произошло после того как я обновлялся крайний на тот момент раз, отлегло и я забыл число. С тех пор однако стал более внимателен к эрор кодам emerge и да, бывало когда выдавало 1 на проверке, я тут же повторял сынк до получения нормального нуля, в таком случае (плевать на ихние этикеты-шмитикеты).

justin_case
()
Последнее исправление: justin_case (всего исправлений: 1)

Нельзя конечно, с разморозкой. Есть reproducible builds чтобы это победить, но во-первых, с ними либо ты сам всё собираешь чтобы веифицировать, либо у тебя всё равно нет 100% гарантии (если ты веришь верификации от третьих лиц). Ну и как-то оно слишком медленно внедряется.

slovazap ★★★★★
()
Ответ на: комментарий от dimgel

А про шапочку я вообще молчу: корпоративный дистр не может быть без закладок.

Если только роботы его собирают и поддерживают. Там и за меньшие огрехи руководства волны амна в мемо-листе колышатся неделями.

mv ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.