LINUX.ORG.RU
ФорумTalks

Серверы инфраструктуры Fedora и Red Hat были взломаны. Обнаружена подмена OpenSSH


0

0

Неделю назад в списке рассылки анонсов проекта Fedora был опубликован призыв не производить загрузку или обновление пакетов до специального объявления. Сегодня работа серверов была полностью восстановлена, а причины проблем раскрыты.

Сообщается, что проблемы затронули не только Fedora, но и серверы Red Hat. Злоумышленники неизвестным способом получили контроль над машинами проекта и подменили в репозиториях пакетов Fedora, RHEL 4 и RHEL 5 пакет с OpenSSH (подмена была с корректной цифровой подписью, причина утечки пароля для подписывания пакетов так и не была установлена).

http://www.opennet.ru/opennews/art.shtml?num=17510

http://www.mail-archive.com/fedora-announce-list@redhat.com/msg01400.html

З.Ы. решето ваш редхет


[мнение] raid - нужен или нет?(desktop)
[GPL][Западлостроение] Как испортить жизнь автору кода?

> З.Ы. решето ваш редхет

решето ваш редхат, решето ваш дебиан, решето ваш... линукс?

// wbr

klalafuda ★☆☆
()

"причина утечки пароля для подписывания пакетов так и не была установлена" - это как? По ссылке сказано: "we have high confidence that the intruder was not able to capture the passphrase used to secure the Fedora package signing key".

tailgunner ★★★★★
()

РЕ-ШЕ-ТО! Аминь.

anonymous
()

Я помню злорадное хихиканье редхетовцев, когда обнаружили ошибку в дебиановском OpenSSL. А кого в результате поимели?

shimon ★★★★★
()
Ответ на: комментарий от anonymous

>Слака рулит! все остальное - решето!

У вашей слаки даже нет вменяемой системы управления пакетами.

Dudraug ★★★★★
()
Ответ на: комментарий от anonymous

>Гон. Весь мир использует глобальный и надежный msi.

Уже есть нормальные репозитории для Винды.

Dudraug ★★★★★
()

>Злоумышленники неизвестным способом получили контроль над машинами

хорошая новость. Надутые щеки здулись. Надолго?

>Злоумышленники неизвестным способом

Следствие ведут колобки? (с)

anonymous
()

Лузерок, ты даже читать не умеешь:

Разработчики проекта CentOS опубликовали информационное письмо, в котором уверили пользователей, что атака на Fedora и RedHat не затронула проект CentOS. Для проверки был проведен аудит системы сборки и подписывания пакетов, также были проанализированы исходные тексты двух последних версий пакета с openssh. Серверы инфраструктуры CentOS находятся за многоступенчатым межсетевым экраном и доступны для входа лишь для небольшого числа разработчикв с заранее оговоренного списка адресов.

Соси чупачупс дальше и готовься к школе.

Gharik
()
Ответ на: комментарий от Gharik

Ой... ой... Карабас-Барабас пришел... Сдуйся! и, не смеши мои тапочки!

anonymous
()
Ответ на: комментарий от Dudraug

> /me Посмотрел на аватар.

:)

зы: все муняшки отличаются чрезмерной унылостью?

overmind88 ★★★★★
()
Ответ на: комментарий от PolarFox

>По сравнению с нашим решетом - ваша винда это вообще окно... открытое...

Окно в мир?

anonymous
()

причина взлома неизвестна, OpenSSH подменили при этом подписав его правильной подписью, ппц весело... инасайдеры поработали похоже

Хотя попадалово с ОпенССЛ на Дебиан было гораздо хуже

Собственно есть причина редхатовцам задать перца кому-то в своей организации

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

+1 без "внутренних" врагов тут не обошлось. Кого-то обидели - например, не его а другого перца назначили тимлидом - и вуаля. Человеческий фактор, однако, тут технически как ни защищайся...

P.S. IMHO некорректно говорить об отстойности RH только лишь на основании этого случая - такое же могло произойти с любым другим дистрибутивом...

Slavaz ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[мнение] raid - нужен или нет?(desktop)
Talks
[GPL][Западлостроение] Как испортить жизнь автору кода?