The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выявлен факт подстановки бэкдора в код phpMyAdmin на одном из зеркал SourceForge.net

25.09.2012 23:29

Разработчики свободного проекта phpMyAdmin заявили о выявлении факта распространения на одном из зеркал SourceForge.net модифицированного архива phpMyAdmin-3.5.2.2-all-languages.zip, в который был внедрён бэкдор. Поражёнными оказались системы пользователей, которые при загрузке с официального сайта phpMyAdmin были перенаправлены на зеркало cdnetworks-kr-1.

Вредоносный код был внедрён через добавление файла server_sync.php и позволял злоумышленнику выполнить произвольный код на сервере. Кроме того, злоумышленниками был модифицирован файл js/cross_framing_protection.js. Всем пользователям рекомендуется проверить присутствие файла server_sync.php в установленных копиях phpMyAdmin и при его наличии переустановить phpMyAdmin c заслуживающего доверия зеркала.

Представители хостинга SourceForge.net признали факт компрометации одного из серверов в системе зеркал и инициировали доскональное разбирательство по данному инциденту. В настоящее время зеркало cdnetworks-kr-1 удалено из системы доставки контента SourceForge.net. Владелец проблемного зеркала подтвердил информацию об атаке на сервер и указал на то, что взлом был совершён приблизительно 22 сентября. Проверка по контрольным суммам показала, что злоумышленниками был подменён только файл phpMyAdmin-3.5.2.2-all-languages.zip, остальные архивы на зеркале не пострадали. Судя по логу, архив с вредоносным ПО успели загрузить приблизительно 400 пользователей.

  1. Главная ссылка к новости (http://sourceforge.net/blog/ph...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/34934-security
Ключевые слова: security, backdoor, phpmyadmin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (78) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Zenitur (ok), 23:42, 25/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как они так быстро обнаруживают подмену исходного кода? Это не первая новость о подмене исходного кода, в которой подмену обнаружили очень быстро. Если с http://kernel.org/ всё понятно, то в менее популярных программах я не могу понять, как подмену исходного кода обнаруживают так быстро.

    Сегодня скачивал с sourceforge.net несколько архивов с исходным кодом. У этой программы было всего лишь 150 скачиваний исходного кода и около 10 тысяч скачиваний бинарников.

     
     
  • 2.2, ovg (?), 23:48, 25/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какие бинарники? Он на PHP деланный.
     
     
  • 3.3, Анонимус42 (?), 00:04, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Имеется ввиду установочная часть.
     
  • 2.5, all_glory_to_the_hypnotoad (ok), 00:31, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Вот ставишь это мускульное дерьмо на какой-нибудь генте, а оно говорит - сука, не совпадает sha1 ;-(
     
     
  • 3.29, тигар (ok), 09:41, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    [tiger@laptop]:~%cat /usr/ports/databases/phpmyadmin/distinfo
    SHA256 (phpMyAdmin-3.5.2.2-all-languages.tar.xz) = d02de081c522d3026f4a8418538f7ff05adf280afa404851a5f7f4ef895b4a7d
    SIZE (phpMyAdmin-3.5.2.2-all-languages.tar.xz) = 3654332

    :P
    в дженте тоже, насколько я понимаю, можно сказать "и чо?! ставь бл!" некоторые так и делают, что есть "грустняво"

     
     
  • 4.36, Аноним (-), 10:17, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    не, в генте это не совсем тривиально, т.е. просто сказать нельзя, ну или по крайней мере нужно ещё понять как это сделать
     
     
  • 5.40, тигар (ok), 10:49, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > не, в генте это не совсем тривиально, т.е. просто сказать нельзя, ну
    > или по крайней мере нужно ещё понять как это сделать

    так в этом вся и прелесть подобных систем/дистрибутивов, что ногу прострелить можно только разобравшись как это сделать, а не "галочкой" в какой-нибудь gui херне

     
     
  • 6.70, BratSinot (?), 22:21, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В этом не прелесть, а кривость. Если я хочу что-то сделать, я это сделаю.
     
     
  • 7.75, тигар (ok), 23:19, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > В этом не прелесть, а кривость. Если я хочу что-то сделать, я
    > это сделаю.

    да ладно?;)
    аналогичный пример:
    пропасть, ограждение. ты через него перелазишь. вар-та ровно 2:
    1) ты - идиот
    2) ты экстремал, которому непременно хочется прыгнуть вниз, т.к. есть некая уверенность в том, что ты все делаешь правильно (парашют за спиной, например).
    аналогия понятна, я надеюсь?

     
  • 4.54, Аноним (-), 15:47, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > в дженте тоже, насколько я понимаю, можно сказать "и чо?! ставь бл!"

    Палишься, ыксперт.


     
     
  • 5.57, тигар (ok), 15:49, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> в дженте тоже, насколько я понимаю, можно сказать "и чо?! ставь бл!"
    > Палишься, ыксперт.

    палюсь, прости, в чем, аптгетинсталлер ты наш?;)

     
     
  • 6.62, Michael Shigorin (ok), 18:29, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Палишься, ыксперт.
    > палюсь, прости, в чем, аптгетинсталлер ты наш?;)

    В полном отсутствии понимания модели угрозы.

     
     
  • 7.67, тигар (ok), 21:06, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Палишься, ыксперт.
    >> палюсь, прости, в чем, аптгетинсталлер ты наш?;)
    > В полном отсутствии понимания модели угрозы.

    из чего вывод сделан? буду рад цитатам, доказывающим, что это утверждение не есть клевета;)

     
     
  • 8.78, Michael Shigorin (ok), 02:21, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Из 40 целиком Предлагаю домашнее задание подумать, откуда берётся тарбол и хэ... текст свёрнут, показать
     
     
  • 9.84, тигар (ok), 07:51, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ну не все же кругом тупые, попробуй представить себе такое из интернетов они из ... текст свёрнут, показать
     
     
  • 10.89, Michael Shigorin (ok), 14:06, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Два балла Нет Да тарбол -- с зеркала, хэш -- с сайта Доступ на запись к эти... большой текст свёрнут, показать
     
     
  • 11.91, тигар (ok), 00:16, 28/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    смс с хэшем от того кто паковал или сайт интернет в общем случае что нет... большой текст свёрнут, показать
     
  • 2.16, Аноним (-), 03:48, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    это сила 1%. среди 400 скачавших пользователей, 4 всё равно догадаются проверить контрольную сумму и заподозрить наипалово.
     
     
  • 3.44, Клыкастый (ok), 11:54, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > это сила 1%. среди 400 скачавших пользователей, 4 всё равно догадаются проверить
    > контрольную сумму и заподозрить наипалово.

    остальные 396 виндовсятнеков до сих пор не в курсе...

     
     
  • 4.47, terr0rist (ok), 12:59, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > 396 виндовсятнеков

    а ведь ты прав, ибо архивы .zip скорее всего кроме виндовсятнеков никто не скачивает :)
    И фальсификаторы, скорее всего, именно на это и рассчитывали, заменяя именно .zip, а не tar.xz.

     
     
  • 5.72, Pilat (ok), 23:08, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Скорее всего в zip было проще добавить файл, не перепаковывая архив. tar.gz этого не позволяет вообще.

    По моему скромному опыту, линуксоиды  менее грамотны в компьютерных технологиях в области защиты, чем виндузятники, во всяком случае ни одного линуксоида , не захотевшего чтобы я ему поставил именно PhpMyAdmin, а не что-нибудь нормальное, я ещё не встречал.

     
     
  • 6.76, ILYA INDIGO (ok), 23:32, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > По моему скромному опыту, линуксоиды  менее грамотны в компьютерных технологиях в
    > области защиты, чем виндузятники, во всяком случае ни одного линуксоида ,
    > не захотевшего чтобы я ему поставил именно PhpMyAdmin, а не что-нибудь
    > нормальное, я ещё не встречал.

    Начнём с того, что линуксоиды сами себе устанавливают нужный им софт, а не просят этого делать кого попало!
    Во вторых pma удобен именно для администрирования (импорт/экспорт), а для разработки я раньше использовал WorkBench, но он от версии к версии становился всё глючнее и убожнее и им уже совершенно не удобно порльзоваться (по крайней мере под KDE) и я использую плагин БД к Kate и очень им доволен, он быстр и удобен.
    Плохо что нет аналогичного плагина к geany.

     
     
  • 7.85, тигар (ok), 09:44, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > pma удобен именно для администрирования (импорт/экспорт),

    щито? сурове однинэ не умеют делать/вливать дамп без pma ? alter'ить тоже не?
    нацЫя дИградирует. верните мне как было, лет на 10 назад!

     
  • 6.79, Michael Shigorin (ok), 02:23, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > во всяком случае ни одного линуксоида , не захотевшего чтобы я ему поставил именно
    > PhpMyAdmin, а не что-нибудь нормальное, я ещё не встречал.

    Давайте встретимся :)

     
  • 6.82, arisu (ok), 03:13, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > линуксоида
    > я ему поставил

    тебя где-то жестоко обманули, это были не линуксоиды.

     
  • 4.55, Аноним (-), 15:48, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > остальные 396 виндовсятнеков до сих пор не в курсе...

    С точки зрения товарищмайора есть как минимум с десяток будущих подследственных, которые попадут по обещаемому вскоре закону :)

     
  • 2.24, Аноним (-), 08:22, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Меня больше удивляет как на одном из зеркал могла находиться копия отличающаяся от других зеркал более часа. Зеркала должны постоянно синхронизироваться и проверяться КС.
    Подобные ресурсы д/б максимально простыми, безопасными и быстрыми, а они превратились в рекламную доску, блог и еще хз чего.
     
     
  • 3.43, Клыкастый (ok), 11:53, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >  Зеркала должны постоянно синхронизироваться

    упаси аллах. чтоб оно на остальные переползло?

    КС проверяется у конечного пользователя. после доставки. и у него КС из одного источника, сырцы из другого. и это правильно.

     

  • 1.4, grayich (ok), 00:10, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    вывод - не игнорируйте сверку md5
     
     
  • 2.6, Xasd (ok), 00:34, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    даж не знаю как это делать в венде ;-)

    в "Command Prompt" такой команды нет как md5sum

     
     
  • 3.7, Andrew (??), 00:47, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > даж не знаю как это делать в венде ;-)

    Например вот так: http://www.implbits.com/hashtab.aspx :)

     
     
  • 4.9, Аноним (-), 01:07, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Что за бред? Не стыдно на опеннете такую ссылку постить? Пусть компилит из сырцов или качает, но обязательно опенсорсное.
     
     
  • 5.20, Аноним (-), 05:25, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ты чего такой серьезный?
     
  • 3.8, Аноним (-), 01:05, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    есть total commander. Правда он кроме CRC16/32 , md5, и sha1 не считает ничего. Но обычно этого хватает. Ну или сторонние тулзы. А лучше cygwin ставить или типа него. Но консоль убогая конечно в винде, дааа
     
     
  • 4.53, Аноним (-), 15:30, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Понабежали виндузятники md5sum наше все
     
  • 3.11, анон (?), 01:25, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    php -n -r echo(hash('md5',file_get_contents('phpMyAdmin-3.5.2.2-all-languages.zip')));

    _\m/

     
     
  • 4.22, Аноним (-), 07:36, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну есть же md5_file()
     
     
  • 5.61, анон (?), 17:43, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вы недостаточно прониклись духом PHP
     
  • 3.28, Аноним (-), 09:23, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    http://unxutils.sourceforge.net/
     
     
  • 4.42, Имя (?), 11:53, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А архивы на зеркалах с этим чудом тоже уже подменили? ;)
     
  • 3.45, Клыкастый (ok), 11:56, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > даж не знаю как это делать в венде ;-)

    даже не знаю как сформулировать совет, не употребляя "снестинах".

    > в "Command Prompt" такой команды нет как md5sum

    а как же любимый вендовсятнегами TotalCommander?


     
     
  • 4.51, mihalych (ok), 14:09, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да, настощие вендовсятнеги настолько суровы, что проверяют контрольные суммы tatalcmd'ером. Ну а мы настолько ленивы, что за нас это делают пакетные менеджеры.
     
     
  • 5.73, Pilat (ok), 23:11, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, настощие вендовсятнеги настолько суровы, что проверяют контрольные суммы tatalcmd'ером.
    > Ну а мы настолько ленивы, что за нас это делают пакетные
    > менеджеры.

    и настолько малообразованы, что найти утилиту, проверяющую под windows контрольную сумму, не можете. Естественно, в линуксе умные дяди добавили в системы наших крутых "специалистов" всё необходимое, а в windows надо ручками уметь что-то делать.

     
     
  • 6.77, mavriq (ok), 02:06, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > и настолько малообразованы, что найти утилиту, проверяющую под windows контрольную сумму, не можете...
    > а в windows надо ручками уметь что-то делать.

    ручками я USE-ы выставляю, предварительно грамотно вникнув в имеющиеся.
    Ручками я, когда надо, ebuild-ы пишу, но такое довольно редко бывает надо.
    А всю грязную работу (аля найти сорцы, скомпилить их с нужными ключами и установить по тем адресам, с которых легко можно будет удалить при удалении/обновлении софта) за меня делает пакетный манагер.

    а ты ручками месишь гов^W^W таки находишь на файлопомойках недоутилиту считающую md5 или bluefish, но требующую активации. потом ищешь кряк на неё. потом надеешься, что твой крякнутый каспер, не обновлявший базы полгода, сможет распознать в этой мегаутилите и кряке к ней наличие/отсутствие зловреда.
    И лишь потом ты копируешь эту инсталяшку с кряком в, итак разросшуюся, папку e:\Install, а оттуда уже устанавливаешь. Я последовательность действий не перепутал?

    Наверно такие мытарства сильно поднимают чсв

     
     
  • 7.80, Pilat (ok), 02:37, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > а ты ручками месишь гов^W^W таки находишь на файлопомойках недоутилиту считающую md5
    > или bluefish, но требующую активации. потом ищешь кряк на неё. потом

    Типичный подход недоучки, привыкшего что за него всё делает пакетный менеджер.
    В windows давно есть cygwin, а в нём есть md5sum.exe . Не надо крякать, уважаемый :))) Спасибо за подтверждение моего мнения.

     
     
  • 8.81, Michael Shigorin (ok), 02:49, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что, прям в windows - Вообще-то чтоб выбрать систему, в которой действительно... текст свёрнут, показать
     
  • 8.83, mavriq (ok), 04:14, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Естественно, в cygwin умные дяди добавили в системы наших крутых специалист... текст свёрнут, показать
     
     
  • 9.87, Pilat (ok), 11:20, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Единственно возможном Кто бы знал ту же утилиту для проверки md5 желающие мо... текст свёрнут, показать
     
     
  • 10.90, arisu (ok), 21:12, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ужасно некошерно почему в системе, установщик которой занимает целый DVD, нет д... текст свёрнут, показать
     
  • 8.92, Аноним (-), 05:13, 29/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Извините, стесняюсь спросить, а контрольную сумму cygwin-а, при скачивании, вы к... текст свёрнут, показать
     
     
  • 9.94, Клыкастый (ok), 16:17, 02/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    просто творится молитва Балмеру и рука на голографическую наклейку ... текст свёрнут, показать
     
  • 6.93, Клыкастый (ok), 09:39, 02/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > и настолько малообразованы, что найти утилиту, проверяющую под windows контрольную сумму, не можете.

    если человек не хочет искать в мусорных баках что-то чем можно побриться, это не значит, что он малообразован. хотя предположу, его знания особенностей окрестных мусорных баков могут не сравниться с.  


    > Естественно, в линуксе умные дяди добавили в системы наших крутых "специалистов" всё необходимое,

    я сожалею, что ваши дяди жадные дураки, но в отличии от реальных родственников, дядей, которые клепают операционки можно выбрать.

    >  а в windows надо ручками уметь что-то делать.

    везде надо ручками что-то делать, это не беда.

     
  • 2.30, тигар (ok), 09:42, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > вывод - не игнорируйте сверку md5

    а где все еще используется проверка md5 ?

     
     
  • 3.34, grayich (ok), 10:00, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    почти везде
    не отрываясь от сабжа - http://www.phpmyadmin.net/home_page/downloads.php, все md5 приложены.

     
  • 2.56, Аноним (-), 15:49, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > вывод - не игнорируйте сверку md5

    Капитан намекает что хакер может его и пересчитать как бы. Вот цифровые подписи - другое дело.

     
     
  • 3.86, saNdro (?), 09:46, 27/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ломанув ВСЕ зеркала на которых лежит архив, или от чего ещё там контрольная сумма?
     

  • 1.10, JL2001 (ok), 01:23, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    к вопросу о взломе репозиториев
    ещё остались убеждённые в том что репы панацея и юзера не надо защищать от устанавливаемых им программ а программу А от программы Б ?
     
     
  • 2.12, an (??), 01:33, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    sourceforge is not repositary
     
     
  • 3.13, JL2001 (ok), 01:39, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • –11 +/
    > sourceforge is not repositary

    ага, конешно, принципиально и диаметрально противоположная вещь

     
     
  • 4.23, Конь (?), 08:19, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В репозиториях автоматом проверяется подпись пакета. Внедрить код можно только если украсть приватный ключ производителя пакета, а это сделать гораздо сложнее, чем "файлики в архиве поменять".
     
  • 4.63, Michael Shigorin (ok), 18:37, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> sourceforge is not repositary
    > ага, конешно, принципиально и диаметрально противоположная вещь

    sf -- это средство публикации (в данном случае на системе зеркал).  Репозиторий -- тоже средство публикации, но с совсем другой семантикой проверок.

    Даже не знаю, как это кратко объяснить при такой степени некомпетентности в обсуждаемом вопросе.

     
  • 2.25, Аноним (-), 08:33, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Репозиторий != зеркало. С подписанными пакетами ты вообще ничего не сделаешь.

    > что репы панацея

    Погодь-погодь, а ты что-то лучшее хочешь предложить?

    [сообщение отредактировано модератором]

     
     
  • 3.52, JL2001 (ok), 14:53, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> что репы панацея
    > Погодь-погодь, а ты что-то лучшее хочешь предложить?

    нет, я считаю что репы хорошее решение и лучше них ничего не могу предложить
    но надёжность репов не 101% и нужны средства максимально исключающие влияние этого фактора, будь то таки взломанный реп с украденной подписью, или реп васи пупкина с убунтутвикалкой злонамеренного характера

     
     
  • 4.64, Michael Shigorin (ok), 18:38, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > но надёжность репов не 101%

    А это уже к вопросу доверия.

     
     
  • 5.65, JL2001 (ok), 20:34, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> но надёжность репов не 101%
    > А это уже к вопросу доверия.

    доверия много не бывает
    в плане что всему надо недоверять
    даже в моей собственной программе в моём локальном репозитории может оказаться скрипт "rm -rf / bla/bla/bla"

     
     
  • 6.69, анон (?), 21:54, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    rm -rf /usr /lib/nvidia-current/xorg/xorg

    сори за боян

     

  • 1.14, Жорж (?), 01:40, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А разве не проверяются контрольные суммы при установке из репозиториев? В новости написано "примерно 400 скачавших", что вовсе не значит "установивших". Ну скачали, чексуммы не совпали, ну и ладно.
     
     
  • 2.15, Crazy Alex (ok), 03:11, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Собственно как раз обычно phpMyAdmin качают чтобы руками куда-то запихнуть - а если репозитории использовались бы то контрольная сумма б проверилась с гарантией.
     
     
  • 3.31, тигар (ok), 09:45, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Собственно как раз обычно phpMyAdmin качают чтобы руками куда-то запихнуть - а
    > если репозитории использовались бы то контрольная сумма б проверилась с гарантией.

    у тех, кто так делает, и без phpmyadmin ос дырявая. остальные ставят из репо, если они не дебиановцы, например;)

     
  • 2.49, terr0rist (ok), 13:06, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А разве не проверяются контрольные суммы при установке из репозиториев? В новости
    > написано "примерно 400 скачавших", что вовсе не значит "установивших". Ну скачали,
    > чексуммы не совпали, ну и ладно.

    Как правильно заметил выше Клыкастый, архивы .zip качают в основном юзеры окон, которые обычно не утруждаются проверить чексуммы в том числе по причине проблематичности этого в окнах. А значит, вероятность того, что в данном случае скачавшие == установившие - около 100%.
    Стоит заметить и то, что фальсификаторы, скорее всего, именно на это и рассчитывали, заменяя именно зип, а не tar.xz.

     

  • 1.35, Аноним (-), 10:02, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Коллизии подписей никто не отменял... А зеркала иногда могут быть злом, для админских/системных утилит всё лучше брать с ресурса разработчика или с проверенной CDN.
     
     
  • 2.38, Нанобот (?), 10:19, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >или с проверенной CDN.

    и сколько CDN ты Лично проверил?

     
     
  • 3.58, Аноним (-), 15:51, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > и сколько CDN ты Лично проверил?

    ...и как проверить что это именно тот сайт, а не какой-то му... на проводе?

     
     
  • 4.59, Аноним (-), 16:31, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    побасенка о том, что '(не)проверенно (не)довереный' не отменяет данный на откуп cкачивающему труд сверки чексумм и прочие мероприятия (изменения между версиями, 'песочницы' и т.д.)
     

  • 1.60, Аноним (-), 17:14, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ох уж это ё^%$%# корейское зеркало. Им и так интернет на черепахах завозят, не иначе, так ещё и ломают регулярно.
     
  • 1.66, Аноним (-), 20:36, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Забабахали какой нить демон. Висит в памяти тихонечко обращается к базе контрольных сумм, неспешно сканирует требуемые файлы, проверяет их, пишет логи. Как только что-то поменялось в системе, сразу сообщает. Во фряхе кажется есть даже специальный режим защиты. Как-то читал, но не уверен, что правильно помню. При такой постановке система все мониторит и в логах должна отписаться, что не так. Однако при такой защите наверное невозможны такие подмены.
     
     
  • 2.74, Pilat (ok), 23:15, 26/09/2012 [^] [^^] [^^^] [ответить]  
  • +/
    tripwire он называется. Только неспешной проверки больших файловых архивов не бывает.


     

  • 1.71, ILYA INDIGO (ok), 22:45, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >был подменён только файл phpMyAdmin-3.5.2.2-all-languages.zip

    Прекрасно, что я качаю всегда только *.7z :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру