The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Подмена страниц на сайте репозитория RPM Fusion

26.07.2014 23:15

В качестве демонстрации проблем с безопасностью неизвестные осуществили подмену некоторых страниц на сайте репозитория RPM Fusion. При попытке скачать пакет репозитория для любого дистрибутива из rpmfusion.org/Configuration происходит переадресация на страницу rpmfusion.org/Insecure со ссылкой на уведомление о проблеме и следующим сообщением взломщика:

Суть первой проблемы в использовании на сайте wiki-движка, позволяющего любому новому пользователю отредактировать содержимое страниц, включая страницы с инструкциями и списками для загрузки. Администраторы сайта RPM Fusion до сих пор никак не отреагировали на инцидент (дополнение: правки уже отклонены, но они оставались незамеченными несколько часов). Вторая проблема заключается в ошибочной инструкции по верификации пакетов с использованием открытого ключа до начала установки, которая создаёт ложное чувство безопасности, но на деле ничего не доказывает.

Репозиторий RPMFusion был создан для работы с Fedora Linux, однако также содержит пакеты для RHEL и CentOS. RPMFusion состоит из двух основных частей:

  • free - свободное программное обеспечение (в понятии Fedora Licensing Guidelines), которое проект Fedora не может предоставить по различным причинам;
  • non-free - те пакеты, которые не вписываются в Fedora Licensing Guidelines;

Автор новости: anonimous
Тип: Проблемы безопасности
Ключевые слова: rpmfusion
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Sluggard (ok), 01:49, 27/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    На ЛОРе уже обсудили. Это была просто правка вики. Её уже откатили.
     
     
  • 2.2, Мяут (ok), 02:21, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну если это считать взломом, это ж скока всего про википедию можно сказать!
     
     
  • 3.3, Аноним (-), 02:29, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно про правки российских чиновников.
     
     
  • 4.7, Аноним (-), 07:54, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И правки конгресса США
     
  • 4.14, Аноним (-), 12:48, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и правки пятой колонны
     
  • 3.6, Аноним (-), 04:08, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Из википедии софт как правило не ставят. А вот если некто подпихнет левую репку как "якобы RPM Fusion" - это будет ОЛОЛО.
     
     
  • 4.10, Мяут (ok), 12:13, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ссылки на "оффициальные" сайты программных продуктов там таки есть. А учитывая, что софт на оффтопик ставится по принципу найти ссылку -> скачать -> установить, пространство для фишинга наличествует.
     
     
  • 5.22, Аноним (-), 17:41, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну ссылки на "оффициальные" сайты программных продуктов там таки есть.

    Это пока кто-нибудь особо креативный не регнул домен с парой других букв и не поправил вику? Хинт админам вики: некоторые страницы надо вообще-то лочить, оставив редактируемыми только для админов и доверяемых пользователей ;). Иначе хаксоры и вирмэйкеры могут получить пачку ботов в сетку за ваш счет.

    > А учитывая, что софт на оффтопик

    Так оффтопик не зря называется маздаем...

     
  • 2.8, anonymous (??), 10:49, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Был бы у них сайт -- это была бы всего лишь правка вики. А так -- это был официальный источник ссылок для скачивания. Какой уровень безопасности -- такой и уровень взлома.
     

  • 1.4, Аноним (-), 02:53, 27/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Ничего я не взламывал, да я и не умею. Зарегистрировался на вики просто из интереса, охренел, когда увидел, что могу редактировать домашнюю страницу, ЗАГРУЗКИ!! А им, ведь, ВЕРИЛ, думал, что у них качать безопасно...

    Им ведь спамили, удаляли со страниц содержимое, а они не догадались, что ссылки на загрузку могут подменить на вирус... скажут спасибо, что я настоящий вирус не подсунул...

    Мои первые изменения держались несколько часов. Если бы и правда выложили вирус, кто-нибудь мог бы за это время заразиться.

    Мой предыдущий багрепорт ингорировали несколько лет: https://bugzilla.rpmfusion.org/show_bug.cgi?id=2630

    И ещё один: https://bugzilla.rpmfusion.org/show_bug.cgi?id=862

     
     
  • 2.5, Аноним (-), 03:13, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Наброс нормальный, кроме одного момента... с покупкой виндовса который. Вы когда-нибудь пробовали зарепортить MS баг? И как, много ваших багов починили? :)
     
     
  • 3.9, anonymous (??), 10:57, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В Виндовс нет багов, это вам скажет любая домохозяйка.
     
     
  • 4.17, Аноним (-), 15:15, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что такое баг?
     
  • 4.34, Аноним (-), 05:20, 29/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > В Виндовс нет багов, это вам скажет любая домохозяйка.

    Что-то не заметил - регулярно зовут устранить какое-нибудь дepьмо с компом. Впрочем, в последнее время это сильно реже, ибо я вкатил большинству знакомых LTSную убунту.

     
  • 4.36, IPRoute (?), 17:00, 31/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сам Windows усть большой баг..............
     
  • 4.37, IPRoute (?), 17:03, 31/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > В Виндовс нет багов, это вам скажет любая домохозяйка.

    Сам  Виндовс  большой БАГ....


     
  • 3.13, Аноним (-), 12:33, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    connect.microsoft.com
     
     
  • 4.35, Аноним (-), 05:24, 29/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > connect.microsoft.com

    Disconnect. Я вроде конкретный вопрос задал. Писать на деревню дедушке - это круто, но понятия MS о прозрачности процессов разработки софта, удобном взаимодействии и результативности всего этого - явно не стыкуются с моим пониманием того как это хотелось бы видеть. А еще я видел как огромный энтерпрайз 2 года с саппортом сношался. Индусики пускали пар, собирали диагностику, выкатывали фиксы. А толку было буй. Энтерпрайзятина так и не работала спустя 2 года. Качественные продукты и офигенный саппорт у этого вашего MS.

     
  • 3.12, Аноним (-), 12:22, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Из их списка рассылки rpmfusion-developers:

    http://lists.rpmfusion.org/pipermail/rpmfusion-developers/2013-July/015359.ht

    > If you haven't notice, rpmfusion.org have been defaced.

    The wiki is open, so was not a security break.

    Значит, они знали, но всё равно не защитили. Я бы их понял, если бы сайт только вчера запустили, но что бы за столько лет...

     
     
     
    Часть нити удалена модератором

  • 5.19, DFX (ok), 15:51, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вовремя я с Федорки свалил... Fusion - это же где "патентованый" софт, ffmpeg и тп. лежат, не ?
     
  • 4.32, Аноним (-), 05:11, 29/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > The wiki is open, so was not a security break.

    Что за кидиoты там рулят всем этим fusion-ом?

     

  • 1.18, Артемон (?), 15:25, 27/07/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Что за вендузятские привычки, собирать бинарники по всяким помойкам?
     
     
  • 2.20, Аноним (-), 16:07, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Вы, вероятно, плохо знакомы с RHEL-производными. Это не дубина с убунтой, там без сторонних репозиториев жить не можно.
     
     
  • 3.21, Аноним (-), 16:08, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это не дубина с убунтой, там

    Дубина, лол. Чертов словарь. Дебиан, конечно же.


     
     
  • 4.25, robux (ok), 18:55, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Дубина, лол. Чертов словарь. Дебиан, конечно же.

    А я уж начал разучивать новый мем )

     
  • 3.27, Stax (ok), 23:43, 27/07/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это не дубина с убунтой, там без сторонних репозиториев жить не можно.

    И почему только почти любая инструкции об установке какой-либо интересной софтины (или просто актуальной версии стандартной) для убунты начинается с "подключите наш ppa"?..

     
     
  • 4.28, Аноним (-), 09:48, 28/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    *Ехидно* А мы про серверы или десктопы? Для серверов все необходимое обычно есть в стандартных репозиториях Дебиана. А вот на RHEL и для серверов приходится подключать EPEL/Fusion.
     
  • 3.29, анон (?), 12:19, 28/07/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сложный вопрос, что из этого правильнее. Обычно в Дебиане пакетов море, но тухлые и кривые, кроме основных. А в RHEL мало, но RH за них отвечает, если ему платить.
     
  • 3.30, Аноним (-), 14:06, 28/07/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Как будто в убунту можно. Без PPA (которые те же помойки с потенциальной вируснёй) шагу не ступить.
     
     
  • 4.31, Deluxe (??), 04:36, 29/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Как будто в убунту можно. Без PPA (которые те же помойки с
    > потенциальной вируснёй) шагу не ступить.

    4 года пользуюсь Ubuntu и Xubuntu на нескольких компах.
    Ни одного постороннего PPA за всё время подключено не было.
    Вирусов нет, проблем нет, недостатка в софте нет, хвататет содержимого репозиториев Canonical. Только Opera и Skype на домашнем ноуте ставились не оттуда, а из deb-пакетов с официальных сайтов.
    Расскажите мне, как я не могу шагу ступить без левых PPA.
    Или лучше сами убунтой попользуйтесь несколько лет и почувствуйте разницу.

     
  • 4.33, Аноним (-), 05:18, 29/07/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Как будто в убунту можно. Без PPA (которые те же помойки

    PPA если и нужны то редко и от относительно ответственных товарищий. И там все по уму - каждый PPA это репа, с вполне себе ключами и левый ключ в этом процессе впарить будет несколько сложновато, т.к. там не вика, что попало не отредактируешь.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру