The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Возможно, скомпрометировано одно из зеркал проекта KDE neon

21.01.2017 08:51

Джонатан Риддел (Jonathan Riddell), развивающий дистрибутив KDE Neon, предупредил пользователей о проблемах с безопасностью на одном из зеркал, на которые организован автоматический проброс запросов со страницы загрузки iso-образов проекта. В частности, FTP-сервер ftp.icm.edu.pl, на котором в том числе размещено зеркало iso-образов проекта KDE neon, отнесён сервисом Google Safebrowsing к категории опасных из-за выявления в загрузках вредоносного ПО. В настоящее время в iso-образах KDE neon на проблемном зеркале изменений не замечено, а администрация зеркала не подтвердила инцидент. Пользователям рекомендуется обязательно проверять загружаемые сборки KDE neon по цифровой подписи.


    gpg2 --recv-key '348C 8651 2066 33FD 983A 8FC4 DEAC EA00 075E 1D76'

    wget http://files.kde.org/neon/images/neon-useredition/current/neon-useredition-current.iso.sig

    gpg2 --verify neon-useredition-current.iso.sig
    gpg: Signature made Thu 19 Jan 2017 11:18:13 GMT using RSA key ID 075E1D76
    gpg: Good signature from "KDE neon ISO Signing Key (neon@kde.org)" [full]



  1. Главная ссылка к новости (http://jriddell.org/2017/01/21...)
  2. OpenNews: Ошибка в настройке репозитория KDE Neon могла привести к подмене пакетов
  3. OpenNews: Первая LTS-сборка дистрибутива KDE neon User Edition
  4. OpenNews: Нестабильные сборки KDE Neon Developer Edition переходят по умолчанию на Wayland
  5. OpenNews: Началось формирование ежедневных сборок KDE Neon на базе Wayland
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/45893-kde
Ключевые слова: kde, neon
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (-), 09:40, 21/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Это не зеркало KDE Neon. Там лежит всё подряд: *BSD, соплярисы, cygwin и операционные системы. Прежде чем писать новость хотя бы проверили.
     
     
  • 2.4, Аноним (-), 09:59, 21/01/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По вашей логике mirror.yandex.ru не зеркало кучи Linux-дистрибутивов, потому что они размещены вместе, а не по отдельности. Специально зеркала для одного проекта никто не создаёт, обычно зеркалируется сразу куча проектов. Поэтому ещё как зеркало KDE neon и ещё многих проектов. Проблема в том, что KDE neon автоматом перебрасывает на случайное зеркало, а не просто список предлагает.
     
     
  • 3.9, Аноним (-), 10:44, 21/01/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По моей логике Google Safebrowsing мог что угодно там найти, потому как навалено всё в кучу. Причём здесь именно KDE Neon?
     
     
  • 4.10, Аноним (-), 11:17, 21/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А при этом:

      $ curl -I http://files.kde.org/neon/images/neon-useredition/current/neon-useredition-20

       Digest: MD5=CJGYkSM/wsje738GnF5SQA==
       Digest: SHA=o2wNg9qRnYMPpq7t435JuFDEW14=
       Digest: SHA-256=+HIJLB2UgrsCh9R7FXRbDBySVgkVU49s+3WS/c+ru3M=
       Location: http://ftp.icm.edu.pl/packages/kde-applicationdata/neon/images/neon-userediti

    C files.kde.org автоматом на то зеркало перебрасывает (не только на ftp.icm.edu.pl, но там всего 5 зеркал, поэтому вероятность использования ftp.icm.edu.pl очень велика). Внезапное появление сайта в Google Safebrowsing может быть и ложным срабатыванием, скорее всего ломанули какой-то зеркалируемый проект, а может говорить и о взломе самого ftp.icm.edu.pl.

     
  • 2.6, Аноним (-), 10:04, 21/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Riddell говорит, что официальное зеркало http://jriddell.org/2017/01/21/reports-of-kde-neon-downloads-being-dangerous-
    Ежу понятно, что там не только KDE neon.
     

  • 1.11, Anon2 (?), 12:02, 21/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    а это нормально, получать цифровую подпись по http вместо https?

     
     
  • 2.12, Аноним (-), 12:30, 21/01/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Меня тоже напрягает.
     
     
  • 3.20, дмитрий (??), 18:30, 21/01/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Так онлайн же, перехватить и добавить это удел фантастики
     
  • 2.13, freehck (ok), 12:55, 21/01/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > а это нормально, получать цифровую подпись по http вместо https?

    Вполне. Это ж подпись, а не приватный ключ. :)

     
     
  • 3.15, IB (?), 14:53, 21/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее бессмысленно получать эту подпись.
    Всё равно для исошки нужно считать и сравнивать с публичной.
     
     
  • 4.27, freehck (ok), 08:48, 23/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Почему же бессмысленно? Что Вас смущает?
     
  • 2.14, Вы забыли заполнить поле Name (?), 13:19, 21/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Только лично при предъявлении паспорта.
     
  • 2.16, Брюс Шнайер (?), 16:19, 21/01/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, если ты перед этим удосужился добавить официальный PGP-ключ и убедился в его подлинности.
     

  • 1.17, Брюс Шнайер (?), 16:20, 21/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как показывает многолетняя практика, PGP - это слишком сложно не только для домохозяек, но и для 99% линуксойдов. Это печально.
     
     
  • 2.25, Аноним (-), 14:36, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как показывает многолетняя практика, за словами "как показывает многолетняя практика" обычно скрывают ложь.
     

  • 1.21, Аноним (-), 19:29, 21/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Криворукий админ сервера подставил людей и проект.
     
  • 1.22, KOT040188 (ok), 23:23, 21/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Неон всё хуже и хуже. Куча глюков, багов и поломанных зависимостей, невозможно ничего установить. Плюс эти проблемы с безопасностью не в первый раз и кривой установщик. Я перешёл на бекпорты. Сейчас там свежий kde. Куча глюков сразу исчезли.
     
     
  • 2.23, Аноним (-), 05:55, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Плюс эти проблемы с безопасностью...

    Первый раз ему сломали репозиторий пакетов доблестные русские хакеры в ноябре прошлого года, чтобы сделать доброе дело и исправить в его репе Qt ( https://bugreports.qt.io/browse/QTBUG-53071 ), так как Риддел рукажоп и сам накладывать патчи не умеет.

    В это раз русские хакеры решили зайти через зеркало в Польше, чтобы все таки подправить Qt, но Риддел не дремлет. :D

    Я надеюсь в ЦРУ прочитают этот комментарий и добавят в свой отчет о кибератаках России на США, ну а там может и до Риддела дойдет, что надо все-таки научиться применять патчи, иначе русские хакеры не отстанут. :)


    Ну а если серьезно, то я не знаю, что там у Вас с зависимостями. Я с ноября делаю aptitude full-upgrade и пока на текущий момент еще ни разу не было проблем с обновлениями пакетов.

     
     
  • 3.24, KOT040188 (ok), 13:07, 22/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А вы попробуйте установить kphotoalbum calibre qtcurve calligraflow.
     
  • 2.28, Аноним (-), 12:23, 23/01/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кот дело говорит. У меня неон умудрился даже интеловское видео сломать. Какого балмера он вообще дрова трогает?
     

  • 1.30, Гость (??), 15:18, 24/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зато как орали когда в Минте мог быть обнаружен троян. И то - только с определенным DE и определенной битности.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру