Проблемы в инфраструктуре проекта Fedora

[Aleksandra]

Сообщается о неопределенных проблемах в инфраструктуре проекта Fedora и вероятном нарушении целостности работы сервисов. Пользователям рекомендуется не производить загрузку или обновление пакетов до устранения возникших проблем. В настоящее время команда разработчиков занимается исследованием инцидента (вторжение злоумышленников ?). Дополнительная информация будет опубликована в списке рассылки fedora-announce-list.

Подробнее.

Источник.

[Макcим]

Разобрались?

[Numb]

Разобрались?

Последнее сообщение, от 16 августа, - обещают возобновить нормальную работу системы авторизации и Wiki на сайте проекта на следующей неделе, об остальном - пока ограничиваются формулой "мы работаем над этим". В сообщении от 14 августа рекомендовали не скачивать и не устанавливать дополнительные пакеты и дополнения/исправления, последнее сообщение эту рекомендацию не отменяет.

[Numb]

Сообщение от 18 августа 2008 года - восстановлена работоспособность части сервисов на сайте проекта. Насколько я понимаю, репозиторий пакетов пока недоступен, потому как в списке пока недоступных систем, которые "пожалуй, будут доступны очень скоро" стоит

Код:

* builders, x86 and ppc

Обещают объяснить в деталях, что же произошло, но пока не объясняют, тоже "очень скоро"

[Numb]

Сообщение от 22 августа 2008 года - объясняет причины сбоев в работе и предупреждений разработчиков. Очень коротко: был обнаружен взлом ряда серверов проекта Fedora. Одна из машин, на которой обнаружены следы взлома, использовалась для создания цифровых подписей для пакетов проекта. Отсюда - рекомендации не устанавливать пакеты обновлений и дополнительные программы с официальных репозиториев - разбирались, не была ли нарушена целостность пакетов, и не были ли скомпрометированы цифровые подписи. Сейчас, по словам представителя, есть уверенность, что никакие из пакетов не были скомпрометированы, однако, помимо усиления прочих мер безопасности, они собираются сформировать новые ключи для всех пакетов дистрибутива. Параллельно с серверами Федоры, следы взлома обнаружены и на серверах RedHat. Там скомпрометированы некоторые пакеты, касающиеся реализации security shell, в связи с чем RedHat выпустила критические обновления, заменяющие эти пакеты, и предложила скрипт по обнаружению скомпрометированных пакетов в системе.

[ALEX(XX)]

Да... Взлом... Это плохо. Теперь нет никакой уверенности в "правильности" софта. Не будешь ведь исходники анализировать сидеть... Где гарантия, что не взломаны сервера других компаний поддерживающих линукс?... Вот так люди сидят, обновляются, а потом бац и неприятный сюрприз...

[Alex Plutoff]

Да... Взлом... Это плохо. Теперь нет никакой уверенности в "правильности" софта. Не будешь ведь исходники анализировать сидеть...

-сомнения в "правильности" софта с открытым кодом всегда есть и одной только проверкой целостности пакетов этих сомнений не развеешь... помните нашумевшую историю с вьетнамской локализацией Firefox?.. там ведь и серверов никто не взламывал и подписи не компрометировал...
-опасность, как не странно, кроется в открытости кода, мало ли кто в него чего допишет, а не в наличии или отсутствии цифровых подписей... но в этом же заключается и его безопасность, любой может проанализировать, то что там написано... парадокс, да и только

...Где гарантия, что не взломаны сервера других компаний поддерживающих линукс?... Вот так люди сидят, обновляются, а потом бац и неприятный сюрприз...

-нет никаких гарантий, эт точно... как впрочем нет таких гарантии и для других ОС...

[Aleksandra]

Возобновлен выход обновлений для Fedora Linux 8 и 9, прекратившийся 12 августа из-за взлома серверов проекта и потенциальной опасности утечки ключей для подписи пакетов. Обновления будут размещены в отдельном каталоге и подписаны новым ключом.

В старый репозиторий помещены пакеты fedora-release, PackageKit, gnome-packagekit и unique, призванные обеспечить прозрачную миграцию на новые пути для получения обновлений. Т. е. необходимо запустить получение обновлений два раза: первый для получения данных о новых путях и ключах из старого репозитория, второй - для непосредственной загрузки обновлений пакетов из новых директорий.

Руководство по переходу на новые GPG ключи представлено в материале "Enabling new signing key" (пример для Fedora 9):

* Загружаем fedora-release-9-5.transition.noarch.rpm
* Выполняем "sha1sum fedora-release-9-5.transition.noarch.rpm" и сверяем с хешем 259165485c16d39904200b069873967e3eb5fa6e;
* Устанавливаем пакет: "rpm -iv fedora-release-9-5.transition.noarch.rpm";
* Импортируем ключ: "rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-8-and-9";
* Запускаем процесс обновления "yum update", в случае ошибки, связанной с yum-utils, пробуем выполнить "yum update --exclude yum --exclude yum-utils" или "yum --skip-broken update".

Подробнее.

Источник: opennet.ru