Jeditobe 29 июн 2018 в 13:26

Хакеры скомпрометировали репозитории Gentoo Linux на GitHub

1 мин

16K

*nix * Информационная безопасность * Настройка Linux * Linux * Системное администрирование *

+21

Комментарии 19

nikitasius 29 июн 2018 в 13:57

Все зеркала проекта Gentoo на Github следует считать скомпрометированными.

Microsoft купили github, понеслось..

НЛО прилетело и опубликовало эту надпись здесь

mwizard 29 июн 2018 в 14:15

с каких пор emerge тянет portage из github?

НЛО прилетело и опубликовало эту надпись здесь

dartraiden 29 июн 2018 в 14:51

Взломано лишь зеркало на GitHub, основная инфраструктура Gentoo, в том числе основной репозиторий (который располагается на их серверах) не затронута. Это зеркало, в основном, для приёма пулл-реквестов, оно не предназначено для того, чтобы пользователи тянули с него обновления, там нет ни Metadata с контрольными суммами, ни ebuild-ов.

Для пользователей, которые хотят обновляться именно с GitHub, есть отдельное зеркало, оно тоже не пострадало.

НЛО прилетело и опубликовало эту надпись здесь

vndtta 29 июн 2018 в 16:11

это кто-то пытается скомпрометировать мс заранее? или мс так незамысловато добавляет экшена к сценарию?

kalaider 29 июн 2018 в 16:11

Да это ж Microsoft просто решил поправить баги в gentoo.

IvUyr 29 июн 2018 в 19:11

Ну почему сразу "неустановленные субъекты"? Это вполне себе сотрупники Майкрософт.

x67 30 июн 2018 в 11:18

А на чем основаны ваши выводы?

middle 30 июн 2018 в 12:20

На чувстве йумора.

Dvlbug 29 июн 2018 в 19:12

Прошу прощения за нубский вопрос, только из любопытства
Как происходит обновление пакетов у Gentoo? Так же, как легендарная компиляция из исходников при установке ОС? Листал однажды FAQ по Emerge, но там только команды были, но не вывод.

powerman 29 июн 2018 в 19:52

Так же. :) Сначала скачивается обновление ebuild-ов (sh-файлов с инструкциями для сборки) для всех пакетов (они как раз обычно подписаны, хотя это можно отключить и можно качать их из разных источников, о чём и говорится в статье) — это примерно то же самое, что apt update. А потом, да, для обновляемых пакетов выкачиваются архивы с исходниками и они компилируются, всё по-взрослому. Впрочем, если у Вас много однотипных серверов, то скомпилировать обновляемые пакеты можно на одном, а на остальные поставить обычные бинарные пакеты созданные на первом сервере.

Ayahuaska 30 июн 2018 в 14:54

Можно создать билд-сервер на основе Дебиана, например? Тип собирать на более-менее мощной железке на дебиане пакеты для слабенькой на генте? (:

alexr64 30 июн 2018 в 19:06

Разверните stage-3 тарбол, chroot'нитесь, обновитесь, выставьте те же use-флаги, что и на целевой машине. -march и -mtune тоже с целевой машины (уже после обновления gcc). И собирайте себе пакеты.

artiom_n 29 июн 2018 в 20:55

Любопытно было бы почитать, как им это удалось. Надеюсь, опубликуют данные по расследованию инцидента.

Dvlbug 29 июн 2018 в 21:00

Скорее всего, как обычно, общие пароли на разных сайтах.
Почему так считаю? Потому что взломали доступ к второстепенному сайту, а не основному.
Будь у злоумышленников прямой доступ к компьютеру разработчика, так просто бы не обошлось.

rPman 29 июн 2018 в 22:33

Больше интересно что именно хотели и сделали злоумышленники? Какие проекты модифицировали и как.

willyd 30 июн 2018 в 03:33

Так история гита для публичного репозитория открыта. Момент времени с которого все началось указан. По-моему этого достаточно.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий