The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Неизвестные перекупили старый домен RPM-репозитория PostgreSQL

13.07.2012 09:46

Разработчики СУБД PostgreSQL опубликовали предупреждение о переходе просроченного домена pgsqlrpms.org в руки неизвестного лица. Изначально RPM-репозиторий PostgreSQL был размещён на сайте pgsqlrpms.org, после чего был перемещён на pgrpms.org, а в настоящее время доступен через yum.postgresql.org. Несмотря на смену имён доменов репозиторий оставался доступен по всем адресам, а многие статьи продолжают ссылаться на домены pgsqlrpms.org и pgrpms.org. Домен pgrpms.org пока остаётся в руках сообщества, в то время как pgsqlrpms.org не был вовремя продлён и в марте был перекуплен неизвестным лицом.

В настоящее время pgsqlrpms.org продолжает предоставлять доступ к rpm-пакетам c PostgreSQL, хотя уже не находится под контролем сообщества. Проверка показала, что в настоящее время пакеты, на которые ссылается домен pgsqlrpms.org, имеют корректные контрольные суммы и не модифицированы. Тем не менее, не исключено, что в будущем может быть предпринята попытка распространения через перехваченный домен вредоносного ПО. Пользователям, использующим RPM-репозитории проекта PostgreSQL, рекомендуется убедиться в том, что они используют пакеты с хоста yum.postgresql.org.

  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/34320-postgresql
Ключевые слова: postgresql, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (30) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:05, 13/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Цифровая подпись? Не, не слышали
     
  • 1.2, capslock (?), 10:08, 13/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    да уж - ЗАБЫТЬ продлить домен.
    никто никому не должен ничего, ага.
     
  • 1.3, Дед Анон (?), 10:14, 13/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мда.... А нельзя было заранее продлить домен? Жесть. Ну видимо были очень важные дела.
     
  • 1.4, Oleg (??), 10:36, 13/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    whois не не знаем

    ps Китайцы купили

     
     
  • 2.16, Волька (?), 14:33, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Очень определённо. Китайцы, да. «Люди купили».
     

  • 1.5, Tishka17 (?), 10:49, 13/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "пакеты, на которые ссылается домен pgsqlrpms.org, имеют корректные контрольные суммы и не модифицированы"
    Домен ссылается на айпишник, а не на пакеты. Если перекупили домен - не значит что хостинг тоже. Сейчас pgrpms.org и pgsqlrpms.org ссылаются на разные адреса и вообще я при открытии последнего вижу заглушку с рекламой.
     
     
  • 2.6, Name (?), 11:08, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Даааа? А переадресовать домен на новый хостинг, кто имеет место делать?
     
     
  • 3.7, Name (?), 11:09, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Даааа? А переадресовать домен на новый хостинг, кто имеет место делать?

    И подсунуть модифицированные файлы.

     
  • 2.8, Аноним (-), 11:18, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В том то и дело, что pgsqlrpms.org теперь ссылается на левый хостинг, а не на IP официального yum.postgresql.org
     

  • 1.9, Аноним (-), 11:46, 13/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    А мораль сей сказки такова: ставьте пакеты из репозитория дистрибутива!
     
     
  • 2.10, VoDA (ok), 12:00, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А мораль сей сказки такова: ставьте пакеты из репозитория дистрибутива!

    Собственно ДА!

     
  • 2.11, Аноним (-), 13:11, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А там что?
     
  • 2.12, СуперАноним (?), 13:18, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А мораль сей сказки такова: собирайте пакеты для вашего дистрибутива из исходников. Заодно и соберёте с нужными вам опциями.
     
     
  • 3.13, гость (?), 13:42, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И только нужными вам бекдорами!

    Не, ну вы так говорите будто все исходники просматриваете перед компиляцией %)

     
     
  • 4.18, Аноним (-), 17:43, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Не, ну вы так говорите будто все исходники просматриваете перед компиляцией %)

    Не, ну вы так говорите, как будто подцепить бекдор через бинари и через исходники можно с одинаковой вероятностью. И как будто трудность обнаружения бекдоров одинакова в обоих случаях.

    Вы просто толстый тролль, к тому же мало что знаете о теме по которой пытаетесь высказываться.

     

  • 1.14, Michael Shigorin (ok), 13:43, 13/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Несмотря на смену имён доменов репозиторий оставался доступен по всем адресам

    Вот это как раз плохо -- надо бы снести обслуживание выпавшего из-под контроля домена, чтоб хоть лишний шанс был заметить и поинтересоваться.

     
  • 1.15, Аноним (-), 13:49, 13/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему они всего лишь предупреждают, а не отвязали репозитарий от утраченного ими домена?
     
     
  • 2.17, Аноним (-), 16:21, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А потому что п****ть проще, чем дело делать  :D
     
     
  • 3.19, bugmenot (ok), 20:40, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> А почему они всего лишь предупреждают, а не отвязали репозитарий от утраченного ими домена?
    > А потому что п****ть проще, чем дело делать  :D

    Спасибо.

     

  • 1.20, тигар (ok), 22:22, 13/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хочется передать пламенный "превед" одному недавно прославившемуся любителю "обновления по cron" ;)
     
     
  • 2.21, ram_scan (?), 04:01, 14/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А что, секретный ключ чтобы подписать пакет китайцы вместе с доменом купили ?

    А если некто левых ключей себе наимпортировал или по дефолту разрешил "по крону" неподписаные пакеты ставить то кто ему после этого дебил ?

     
     
  • 3.22, тигар (ok), 10:43, 14/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    бгг.
    а что, в стане луноходов "канпелять" стало модно? я про тех кто apt-get/yum install делает.. скольким процентам хватает офиц. репозиториев? всякие репо типа дотдеб и еще 100500 репозиториев имени И.Говнова. их-то и юзают зачастую, еденицы собирают сами, но про них сказать "апдейт по крону" я не могу.
     
     
  • 4.23, Michael Shigorin (ok), 10:44, 14/07/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > а что, в стане луноходов "канпелять" стало модно?

    Про "луноходов" не скажу, а гентушники в том замечены.

     
     
  • 5.27, тигар (ok), 08:24, 16/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> а что, в стане луноходов "канпелять" стало модно?
    > Про "луноходов" не скажу, а гентушники в том замечены.

    у них-то как раз все работает нормально и ожидаемо, зачастую, в отличие от.

     
     
  • 6.29, Michael Shigorin (ok), 12:34, 16/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> а что, в стане луноходов "канпелять" стало модно?
    >> Про "луноходов" не скажу, а гентушники в том замечены.
    > у них-то как раз все работает нормально и ожидаемо, зачастую, в отличие от.

    Это по опыту наблюдений или просто так сказано?

     
     
  • 7.30, mavriq (ok), 14:48, 16/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это по опыту наблюдений или просто так сказано?

    неудержусь, встряну. по моему опыту, установка И ОБНОВЛЕНИЕ из офф.дерева портежей практически не вызывает гемора.
    Порою, у некоторых, бывают некоторые оплошности, которые легко можно было бы избежать читая eselect news list, вроде перехода с python или perl на следующую версию.
    Без лишней скромности скажу - в моей практике косяков связанных с этим практически небыло.

     
     
  • 8.31, Michael Shigorin (ok), 14:51, 16/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо ... текст свёрнут, показать
     
  • 4.28, ram_scan (?), 08:36, 16/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Мне всегда для серверной кухни хватало официальных репов. По крайней мере на демьяне. Стоит только один сервак из наверное более трех десятков в который подключен debian-multimedia, и то потому-что он работает радиоброадкастером. А канпелять мне лениво.
     

  • 1.32, Аноним (-), 00:01, 17/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    неизвестные жгут!
     
  • 1.33, Аноним (-), 13:48, 18/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну про$рали и про$рали, можно же ссылки на старый домен исправить?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру