|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от opennews (ok) on 14-Фев-12, 18:45 | ||
Разработчики проекта Horde (http://www.horde.org/), в рамках которого развивается серия свободных продуктов для организации совместной работы корпоративных пользователей, сообщили (http://permalink.gmane.org/gmane.comp.horde.announce/708) о выявлении факта внедрения бэкора в некоторые из установочных пакетов. Подробности совершения атаки не приводятся, известно лишь то, что пакеты были модифицированы в результате взлома первичного FTP-сервера проекта. Интегрированный бэкдор позволяет удалённому злоумышленнику выполнить произвольный PHP-код на сервере. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "В пакете для организации групповой работы Horde обнаружен бэ..." | +2 +/– | |
Сообщение от Клыкастый (ok) on 14-Фев-12, 18:45 | ||
пааанеслась. год назад ещё писал, что при усилении позиций опенсорса собсвенно эксплуатация уязвимостей будет применяться реже, а вот атаки на "первоисточник" - гораздо чаще. там - ахиллесова пята. разработчикам - терпения и внимательности. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
3. "В пакете для организации групповой работы Horde обнаружен бэ..." | +5 +/– | |
Сообщение от Аноним (??) on 14-Фев-12, 18:47 | ||
Ну нет же проблем если дистрибостроители верифицируют сорцы используя ЭЦП. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
4. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от rusty_angel (ok) on 14-Фев-12, 19:01 | ||
А откуда дистростроители берут исходники? С уже скомпрометированных серверов проектов. Вот если все будут вместе с архивами выкладывать контрольные суммы… | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
6. "В пакете для организации групповой работы Horde..." | +2 +/– | |
Сообщение от arisu (ok) on 14-Фев-12, 19:05 | ||
> А откуда дистростроители берут исходники? | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
7. "В пакете для организации групповой работы Horde обнаружен бэ..." | +4 +/– | |
Сообщение от Lain_13 on 14-Фев-12, 19:20 | ||
Git не был скомпрометирован. Сломали только FTP. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
9. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Аноним (??) on 14-Фев-12, 19:31 | ||
Во люди. Пишут же про ЭЦП. Контрольную сумму легко подделать, ЭЦП - нет (если рядом приватные ключи не раскидывать). И ничего страшного нет в том чтобы публиковать релиз. Да хоть патчи (с ЭЦП) публикуйте в таком случае. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
23. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от klalafuda on 14-Фев-12, 21:35 | ||
> Во люди. Пишут же про ЭЦП. Контрольную сумму легко подделать, ЭЦП - нет (если рядом приватные ключи не раскидывать). И ничего страшного нет в том чтобы публиковать релиз. Да хоть патчи (с ЭЦП) публикуйте в таком случае. | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
38. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от rain87 on 15-Фев-12, 12:02 | ||
то ссзб, очевидно | ||
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору |
51. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Клыкастый (ok) on 15-Фев-12, 20:21 | ||
> то ссзб, очевидно | ||
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору |
21. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от FFASM (ok) on 14-Фев-12, 21:16 | ||
Это уже давно и делается всеми, кто пользуется git. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
44. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Аноним (??) on 15-Фев-12, 15:17 | ||
А что мешает подменить запись о контрольной сумме на странице проекта? | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
46. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Аноним (??) on 15-Фев-12, 15:45 | ||
Речь не о контрольной сумме, а о подписывании кода личной подписью разработчика, и последующей верификации авторами дистрибутивов. | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
48. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Аноним (??) on 15-Фев-12, 15:47 | ||
^ пардон, не посмотрел кому отвечаю. | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
49. "В пакете для организации групповой работы Horde обнаружен бэ..." | –1 +/– | |
Сообщение от Клыкастый (ok) on 15-Фев-12, 16:06 | ||
Я предлагаю посмотреть в общем и целом. Проблема стоит так, что опенсорс более уязвим именно на стадии написания и распространения исходников. И контрольные суммы - это даже не тень решения проблемы в целом. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
55. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Анон on 16-Фев-12, 14:21 | ||
> в общем и целом это уже совсем не пионэрство "пишу для удовольствия", это очень серьёзно. и требует слаженного взаимодействия между всеми участниками. но этим заниматься не хочется, хочется же побегать босиком за Столлманом и покидаться какашками в BSD. | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
56. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Клыкастый (ok) on 16-Фев-12, 22:47 | ||
> Вообще-то, базарная разработка - это Торвальдс как популяризатор и Реймонд как теоретик. | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
47. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Аноним (??) on 15-Фев-12, 15:46 | ||
В таком случае все есть вероятность заражения исходников на машине разработчика, до подписывания. | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
2. "В пакете для организации групповой работы Horde обнаружен бэ..." | +1 +/– | |
Сообщение от Аноним (??) on 14-Фев-12, 18:46 | ||
Еще один аргумент за использование цифровой подписи. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
5. "В пакете для организации групповой работы Horde..." | +3 +/– | |
Сообщение от arisu (ok) on 14-Фев-12, 19:04 | ||
поэтому порочную практику «публикования релизов» давно пора отменить. вместо этого указывать на сайте команду для гита, которая вытащит именно то, что девелоперы назвали релизом. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
8. "В пакете для организации групповой работы Horde..." | +/– | |
Сообщение от skJ on 14-Фев-12, 19:29 | ||
а всем желающим попользоватся активно ставить себе бегом клиента для коннекта к очередной _cvs_system_, ню ню | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
12. "В пакете для организации групповой работы Horde..." | +2 +/– | |
Сообщение от arisu (ok) on 14-Фев-12, 19:51 | ||
> а всем желающим попользоватся активно ставить себе бегом клиента для коннекта к | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
50. "В пакете для организации групповой работы Horde..." | +/– | |
Сообщение от Клыкастый (ok) on 15-Фев-12, 16:15 | ||
> а всем желающим попользоватся активно ставить себе бегом клиента для коннекта | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
10. "В пакете для организации групповой работы Horde..." | +/– | |
Сообщение от Crazy Alex (ok) on 14-Фев-12, 19:35 | ||
А в чем принципиальная разница? Ну поломают сервер с репозиторием - результат тот же. Ну ладно, при взломе гит почует, что контрольные суммы изменились, а остальные версионники? Навскидку еще штук пять вспомнить можно (svn, mercurial, bazaar, fossil, darcs) - из них хоть половина целостность проверяет? | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
11. "В пакете для организации групповой работы Horde..." | +/– | |
Сообщение от анон on 14-Фев-12, 19:39 | ||
пользуйтесь гитом - и будет безопасно :) | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
13. "В пакете для организации групповой работы Horde..." | +3 +/– | |
Сообщение от arisu (ok) on 14-Фев-12, 19:55 | ||
(задумчиво) значит, надо переходить на те, которые проверяют. или допиливать проверки в любимые. то, что где-то фичи нет — не причина сидеть и плакать, это повод допилить фичу туда, где её нет. ну право, пора уже что-то с окаменелыми тарболами делать. ну, то есть, не «что-то», а «забыть о них в большинстве случаев». | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
52. "В пакете для организации групповой работы Horde..." | +/– | |
Сообщение от Клыкастый (ok) on 15-Фев-12, 20:24 | ||
> (задумчиво) значит, надо переходить на те, которые проверяют. или допиливать проверки в | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
16. "В пакете для организации групповой работы Horde..." | +/– | |
Сообщение от _Vitaly_ (ok) on 14-Фев-12, 20:12 | ||
Упс, не туда ответ воткнулся. Это вам https://www.opennet.ru/openforum/vsluhforumID3/82997.html#15 | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
20. "В пакете для организации групповой работы Horde..." | +1 +/– | |
Сообщение от Аноним (??) on 14-Фев-12, 20:32 | ||
> А в чем принципиальная разница? Ну поломают сервер с репозиторием - результат тот же. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
24. "В пакете для организации групповой работы Horde..." | +1 +/– | |
Сообщение от Crazy Alex (ok) on 14-Фев-12, 21:38 | ||
Да довольно легко на самом деле - если больше одного человека имеет право на пуш лишний коммит с большой вероятностью даже замечен особо не будет. Ну обновилось что-то. Для достаточно большого проекта - пройдёт со свистом. | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
30. "В пакете для организации групповой работы Horde..." | +1 +/– | |
Сообщение от Michael Shigorin (ok) on 14-Фев-12, 23:02 | ||
> если больше одного человека имеет право на пуш | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
26. "В пакете для организации групповой работы Horde..." | +/– | |
Сообщение от Аноним (??) on 14-Фев-12, 22:56 | ||
> поэтому порочную практику «публикования релизов» давно пора отменить. вместо | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
31. "В пакете для организации групповой работы Horde..." | –1 +/– | |
Сообщение от arisu (ok) on 14-Фев-12, 23:05 | ||
(пожимает плечами) о боги, человек, ну что же вы такие линейные-то? вроде бы и скрипты давно придумали — а толку ноль… для этих ваших разных scs и билд-контролей можно скрипт написать. один раз. положить к себе в репозиторий. и больше не мучаться. попутно получив возможность проверять не только тарбол, который авторы выложить соизволили. | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
34. "В пакете для организации групповой работы Horde..." | +1 +/– | |
Сообщение от Аноним (??) on 15-Фев-12, 00:02 | ||
> (пожимает плечами) о боги, человек, ну что же вы такие линейные-то? вроде | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
53. "В пакете для организации групповой работы Horde..." | +/– | |
Сообщение от Клыкастый (ok) on 15-Фев-12, 20:32 | ||
>> поэтому порочную практику «публикования релизов» давно пора отменить. вместо | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
29. "В пакете для организации групповой работы Horde..." | +/– | |
Сообщение от Michael Shigorin (ok) on 14-Фев-12, 23:00 | ||
> поэтому порочную практику «публикования релизов» давно пора отменить. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
32. "В пакете для организации групповой работы Horde..." | –1 +/– | |
Сообщение от arisu (ok) on 14-Фев-12, 23:08 | ||
>> поэтому порочную практику «публикования релизов» давно пора отменить. | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
15. "В пакете для организации групповой работы Horde обнаружен бэ..." | –1 +/– | |
Сообщение от _Vitaly_ (ok) on 14-Фев-12, 20:11 | ||
google "%myvcs% sign commit" | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
25. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от klalafuda on 14-Фев-12, 22:45 | ||
> C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают. | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
27. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Аноним (??) on 14-Фев-12, 22:58 | ||
>> C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают. | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
28. "В пакете для организации групповой работы Horde обнаружен бэ..." | +1 +/– | |
Сообщение от Аноним (??) on 14-Фев-12, 22:59 | ||
>ftp сервера обычно ограничивают это, | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
22. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Аноним (??) on 14-Фев-12, 21:24 | ||
7 февраля какого года? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
35. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Аноним (??) on 15-Фев-12, 08:23 | ||
Почему на kernel.org все исходники имеют свои цифровые подписи, а тут никто не позаботился? Чеще делать,чаще проверять - вот и все !) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
40. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Аноним (??) on 15-Фев-12, 13:01 | ||
Почему ты считаешь, что цифровая подпись хоть что-то гарантирует? | ||
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору |
42. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от Michael Shigorin (ok) on 15-Фев-12, 13:37 | ||
> Нет доверия. | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
43. "В пакете для организации групповой работы Horde..." | +/– | |
Сообщение от arisu (ok) on 15-Фев-12, 14:26 | ||
>> Нет доверия. | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
45. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от фыва on 15-Фев-12, 15:34 | ||
2+2=22 | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
54. "В пакете для организации групповой работы Horde обнаружен бэ..." | +/– | |
Сообщение от R on 15-Фев-12, 20:36 | ||
>> Нет доверия. | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |