LINUX.ORG.RU

Попытка испортить репозиторий RadeonHD

 ,


0

1

Некто spigot, обладающий root-доступом к серверу FreeDesktop.org решил испортить драйвера RadeonHD в соответствующем репозитории git. Make-файлы и configure-скрипты были очищены а, скрипт autogen.sh был заменён на `echo «It's dead, Jim»', описание соответствующего git-коммита было установлено в «PERHAPS BONGHITS WILL FIX MY MAKEFILE». Адрес электронной почты коммитера был указан, как «root@jerkcity.com».

Хотя драйвер RadeonHD в данный момент активно не развивается, очевидно, что данное происшествие воспринимается как оскорбление для тех, кто активно работал над ним. Ещё более важно, что данная выходка ставит под сомнение безопасность инфраструктуры FreeDesktop.org. Git-уведомление о коммите не было разослано в соответствующий список рассылки в течение трёх недель.

Люк Верхаген сказал:

«Ясно, что это не является брешью в безопасности, так как данный коммит находится в полном соответствии со схемой именования, используемой fd.o. Плюс, описанная история с RadeonHD, в сочетании с необходимыми привилегиями, приводит к выводу, что скорее всего это сделал кто-то, имеющий регулярный root-доступ к серверу».

Адам Джексон (Adam Jackson), один из основателей X.Org, работающий в компании Red Hat, сознался в содеянном, объяснив данный шаг непростительной эмоциональной выходкой, вызванной желанием простимулировать исправление Make-файлов другим разработчиком (изменение было внесено не в master-ветку radeonhd). Понимая, что доверие подорвано, виновник сам заблокировал себе root-доступ на сервер.

К счастью, с Git такие детские выходки легко отменить.

>>> Подробности



Проверено: post-factum ()
Последнее исправление: Zhbert (всего исправлений: 4)

Все исправлено. Makefile перезаписан на: «It's live, Jim!». Все правильно сделали!

anonymous
()

>виновник сам заблокировал себе root-доступ на сервер

гы-гы, самоубийца эдакий :)

alt0v14 ★★★
()
Ответ на: комментарий от Deleted

>А вот если бы он сделал git reset --hard какой_то_очень_древний_коммит для всех веток, а потом git gc, то действительно все было бы потеряно.
Про децентрализованность git не рассказывали?

xorik ★★★★★
()
Ответ на: комментарий от Deleted

Уязвимость всей системы опенсорса! Любой школьник может внедрить свой код который все сломает.

anonymous
()

Так и надо!

Какой-то неправильный школоло!! Надо было форматнуть всем винты!!

Какой-то неправильный школоло попался. С такими правами надо было втихаря внедрить рандомносрабатывающий патч Бармина, чтобы у этих луноходов, этих несчастных, убогих красноглазиков шликающих на свой несчастный купленный мамой компутер все удалилось и отформатировалось нафиг!! И они бы все равно (раз рандомно) найти бы не смогли и понять своим ограниченным умом откуда это. Линукс мертв. И точка. Он проиграл. Винда рулит! Если уже ентерпрайснутые решения в виде РедХата такое вытворяют, то я представляю что творится у этих мерзких гентушников или у адептов святого космонавта убунтистов.

Ура! Линукскапец близок как никогда!

anonymous
()
Ответ на: комментарий от anonymous

Любой школьник _с рутовым доступом_ может внедрить свой код который все сломает.

Очевидный фикс же.

Delirium_veritas
() автор топика
Ответ на: комментарий от anonymous

Любое школоло имеет рут-доступ к серверам freedesktop?

Deleted
()

Луноходы такие луноходы

Интересно, в оперсорсе все такие раздолбаи или только во FreeDesktop.org ?

Сначала школота пишет «патч ускорящий ведро» и линупс его принимает без проверок, теперь вот это...

я думаю, что патчик еще проявит себя... на рандомных падениях с потерями данных... ждите :))

anonymous
()

репозиторий RadeonHD

что ж так мелко то ?

на git.kernel.org(pub/scm/linux/kernel/git/torvalds) не было доступа ?

Sylvia ★★★★★
()

Я надеюсь, никто больше не будет задавать глупых вопросов «А зачем ещё один велосипед?!» - ВОТ ПОЭТОМУ. Потому что сидит какой-нибудь мандюк и ему просто жопу лень развернуть, чтобы сделать давно запрашиваемые изменения. Ну и накой его ждать? ФОРК и вперёд! Или вообще с нуля.

Другими словами, ФОСС сжирает сам же себя раздолбайской политикой необязательности - хочу - исправлю, хочу - нахер пошлю! Шикарно...
Главный разработчик просто обязан уделять время проекту или передавать его с полными правами какому-нть ГНУ консорциуму - тогда есть надежда, что прогресс продукта не будет зависеть от кретинов.

matumba ★★★★★
()
Ответ на: Так и надо! от anonymous

Бороться до последнего!

Даже если он умрет, у нас есть BSD системы! Свободу вам у нас не отнять!

Deleted
()
Ответ на: комментарий от tommy

ничем не отличается от того что-бы взорвать бомбу в людном месте что-бы привлечь внимание к чему-либо. у него мозг преступника.

Давайте его расстреляем.

Sociopsih ★☆
()
Ответ на: Луноходы такие луноходы от anonymous

> я думаю, что патчик еще проявит себя... на рандомных падениях с потерями данных... ждите :))

Дурачок, ты в патч-то смотрел? Си знаешь? Приведи фрагмент патча, который по твоему авторитетному мнению себя проявит.

Lumi ★★★★★
()

арчеводам

кстати, хороший повод в данном случае напомнить поклонникам Arch Linux о том, что администратор вашего любимого зеркала (или злоумышленник получивший доступ) может подменить вам пакетики.
или вам все ж таки за последний год сделали подписи к пакетам и их проверку ?

Sylvia ★★★★★
()
Ответ на: комментарий от Sociopsih

Давайте его расстреляем.

я надеюсь что FBI (или откуда он) на заметку его взяли. может быть не случится какого то теракта или кровавого преступления. хуже было бы если бы он был нашим. тут экстремисты в почёте.

tommy ★★★★★
()
Ответ на: комментарий от anonymous

Нелегко отменить.

А с чем такие выходки нелегко отменить?

С SVN. Там репозиторий придуман с целью «легко добавить, трудно убрать». Испортить хранилище трудно, но убрать из него нежелательный коммит без использования бэкапов невозможно.

Camel ★★★★★
()
Ответ на: комментарий от Sociopsih

>Давайте его расстреляем.

Зайдя на красношапочный сервер выполнив git kill ?

anonymous
()

> Адам Джексон.... сам заблокировал себе root-доступ на сервер...

...загипсовал себе пальцы, обрезал все кабели, утопил рутер, отформатировал винты и проглотил ключ от собственной двери.
:)
Доступа его и так бы лишили, зачем мазохизмом заниматься?
А в принципе, сделал всё правильно - ткнул мордой тех, кого давно следовало бы. Вот ещё трольвадса бы ботинком...

matumba ★★★★★
()

Это не тот умник, который собирался в федоре Х- заменить на Wayland ?

argin ★★★★★
()
Ответ на: комментарий от anonymous

Ты запарил. То про эфир и СТО пишешь фигню, то тут начинаешь бред писать.

Quasar ★★★★★
()
Ответ на: Луноходы такие луноходы от anonymous

anonymous> Интересно, в оперсорсе все такие раздолбаи или только во FreeDesktop.org ?

В основном во freedesktop.org

Quasar ★★★★★
()
Ответ на: Так и надо! от anonymous

> Ура! Линукскапец близок как никогда!

Тупые фанатики балмера такие тупые. Не понимают что вечно сидеть на ворованной максимальной они не смогут. Вот когда М$ окончательно задавит своих конкурентов вот тогда они смогут установить любые взятые с потолка цены, на все.

Сиди аноним на своей максимальной и радуйся что пока за нее не пришлось заплатить. Но знай это когда нибудь закончится.

anonymous
()
Ответ на: комментарий от anonymous

>вечно сидеть на ворованной максимальной

Если ты трусливый нищеброд и перебрался на Линупс из-за халявы, то не говори за всех. У нормальных людей Windows 7 лицензионная, купленная вместе с ноутбуком.

anonymous
()
Ответ на: арчеводам от Sylvia

А почему только арчеводам? Разве не ко всем пакетным дистрибутивам, да и гентовские исходники может псих какой-нибудь подпортить,имхо.

aptyp ★★★★
()
Ответ на: комментарий от anonymous

>У нормальных людей Windows 7 лицензионная, купленная вместе с ноутбуком.

А еще они лидеры митол-групп и успешны в своей отрасли, ага.

ru-anon
()
Ответ на: арчеводам от Sylvia

не знаю, как у других, а у меня > 1 зеркала. И даже если кто-то получит доступ к mirrors.kernel.org ...

dotbg ★★★★
()

Тред собрал толпу упоротых, одни из которых чуть ли не под суд предлагают мужика отдать, а другие во всю вбрасывают про смерть линукса.

buddhist ★★★★★
()
Ответ на: комментарий от aptyp

не ко всем, пакеты обычно подписываются ключами репозитория,
хотя возможен вариант с подсовыванием старых пакетов с заведомыми уязвимостями

в генте возможен вариант только подсунуть внешний патч, исходники проверяются на контрольные суммы, а вот патчик где-нибудь на developer.gentoo.org/~pupkin может и пройти...

Арч просто в этом деле полный апофеоз, с отсутствием какой либо защиты пакетов.

Sylvia ★★★★★
()
Ответ на: комментарий от anonymous

> Если ты трусливый нищеброд и перебрался

смелый багатей на лоре? ну надо же какое достижение. ВЫ прям облагородили местную публику своим присутствием.

и кстати что такое «Линупс»? У меня нет ничего такого

anonymous
()
Ответ на: комментарий от anonymous

Кстати, неплохой сюжет для плагина с эффектом close window для компиза.

queen3 ★★★★★
()
Ответ на: комментарий от Sylvia

Ясненько.

Как же без защиты? Разве центральные репозитории ключами не подписываются. Давно на арче не сидел, может и ошибаюсь,но вроде как подписывались.

aptyp ★★★★
()
Ответ на: комментарий от thesis

>>Хотя драйвер RadeonHD в данный момент активно не развивается, очевидно, что данное происшествие воспринимается как оскорбление для тех, кто активно работал над ним.

Пустое множество оскорбленных детектед.


двоечник детекдет

nu11 ★★★★★
()
Ответ на: комментарий от Sociopsih

>Давайте его расстреляем.

поддерживаю, но ввиду того что проступок был совершон при помощи компьютера - расстрел гадо проводить через мультиплеер квейка 4

anonymous
()
Ответ на: комментарий от fractaler

>Ну глупо пошутил. Никому не навредил.

навредил. Он показал, что код проекта может быть испорчен любым исламским фанатиком или даже двойником Джона Ленона. Это было понятно и раньше, но теперь каждому очевидно, что это не фанатазия параноика, а банальный вопрос времени.

Рут доступ подразумевает серьезные самоограничения.

ЗЫ,

кстати, спеллчекер файрофокса знает Ленина и даже Зенона, но не в курсе про Ленона. Пути господни...

AVL2 ★★★★★
()
Ответ на: комментарий от aptyp

я тоже арч смотрела достаточно давно и 1 раз, так что если вдруг что изменилось и мне об этом расскажут - спасибо.

но pacman использовал одно зеркало для списка и для пакетов, список пакетов содержал лишь только их контрольные суммы, следовательно что-то подсунуть и исправить контрольную сумму в списке достаточно просто.
список пакетов не подписывался, т.е. брался как есть с зеркала и использовался.


Sylvia ★★★★★
()

О, мне нравится этот чувак! :-)

ei-grad ★★★★★
()
Ответ на: комментарий от AVL2

код проекта может быть испорчен любым исламским фанатиком или даже двойником Джона Ленона

Да, код проекта может быть испорчен любым участником проекта. Этой уязвимостью ежедневно пользуются многие тысячи программистов по всему миру.

thesis ★★★★★
()

> `echo «It's dead, Jim»'

Епто! а веть я поставил! и увидел это а потома забил, т.е мейбия имею руткит? Причем было это месяца полтора назад

Windos7
()
Ответ на: комментарий от Sylvia

У него не было цели грохнуть весь freedesktop, а простой приступ попаболи от радеона. Пошалил лулзов и себя ради, сознался, лишил доступа. Всё сделал как порядочный взрослый человек (ну после того как пошалил). А АТИшные драйвера и правда какие-то мутные ;p

tensai_cirno ★★★★★
()
Ответ на: комментарий от Jetty

>Валите ка на свои хабры и чаны , а ?

Нет ты. Я ни в твоих хабрах, ни в чанах никогда не состоял. А вот Ати-фанбоям там будут рады.

kranky ★★★★★
()
Ответ на: комментарий от Sylvia

и никто не мешает собирать свои пакеты с abs :-)... хотя это конечно не так удобно как emerge...

ei-grad ★★★★★
()
Ответ на: комментарий от Windos7

FAIL! Если бы ты ставил из этой ветки тебе бы пришлось самому Makefile писать. Если бы ставил из другой - не было бы сообщения.

ei-grad ★★★★★
()
Ответ на: комментарий от tommy

>а в реальном он может действовать как преступник и террорист/фанатик

tommy

это было мнение эксперта

registrant ★★★★★
()

> Вопрос тут в другом. Завтра кто-то из мейнтейнеров ударится головой, перепьет яги, посрется с женой и вперед, с правами рута наперерез форматить серваки Федоры, Дебиана или еще кого.

Это я к тому, что недоверие к опен-сорс отсюда и исходит. Любой неуравновешенный нерд с рут-правами может все дело завалить.

Точно также любой мейнтейнер с правами рута закрытого и/или пропиертарного проекта может удариться(и пр.) и завалить всё дол чего сможет дотянуться. Шизе ровно как и смерти пофиг что это за человек, над чем он работает и сколько народу и как пользуются результатами его работы.

Новость - желтуха чистой воды. В топку.

FeyFre ★★★★
()
Ответ на: комментарий от AVL2

> кстати, спеллчекер файрофокса знает Ленина и даже Зенона, но не в курсе про Ленона. Пути господни...

может быть потому, что правильно «Леннон»?

isden ★★★★★
()

Судя по тому, что выходки никто не заметил в течении почти месяца, чувак сказал совершеннейшую чистую правду.

sv75 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.