Jeditobe Jun 29 2018 at 13:26

Хакеры скомпрометировали репозитории Gentoo Linux на GitHub

1 min

16K

*nix*Information Security*Configuring Linux*Development for Linux*System administration*

+24

Comments 19

nikitasius Jun 29 2018 at 13:57

Все зеркала проекта Gentoo на Github следует считать скомпрометированными.

Microsoft купили github, понеслось..

UFO landed and left these words here

mwizard Jun 29 2018 at 14:15

с каких пор emerge тянет portage из github?

UFO landed and left these words here

dartraiden Jun 29 2018 at 14:51

Взломано лишь зеркало на GitHub, основная инфраструктура Gentoo, в том числе основной репозиторий (который располагается на их серверах) не затронута. Это зеркало, в основном, для приёма пулл-реквестов, оно не предназначено для того, чтобы пользователи тянули с него обновления, там нет ни Metadata с контрольными суммами, ни ebuild-ов.

Для пользователей, которые хотят обновляться именно с GitHub, есть отдельное зеркало, оно тоже не пострадало.

UFO landed and left these words here

vndtta Jun 29 2018 at 16:11

это кто-то пытается скомпрометировать мс заранее? или мс так незамысловато добавляет экшена к сценарию?

kalaider Jun 29 2018 at 16:11

Да это ж Microsoft просто решил поправить баги в gentoo.

IvUyr Jun 29 2018 at 19:11

Ну почему сразу "неустановленные субъекты"? Это вполне себе сотрупники Майкрософт.

x67 Jun 30 2018 at 11:18

А на чем основаны ваши выводы?

middle Jun 30 2018 at 12:20

На чувстве йумора.

Dvlbug Jun 29 2018 at 19:12

Прошу прощения за нубский вопрос, только из любопытства
Как происходит обновление пакетов у Gentoo? Так же, как легендарная компиляция из исходников при установке ОС? Листал однажды FAQ по Emerge, но там только команды были, но не вывод.

powerman Jun 29 2018 at 19:52

Так же. :) Сначала скачивается обновление ebuild-ов (sh-файлов с инструкциями для сборки) для всех пакетов (они как раз обычно подписаны, хотя это можно отключить и можно качать их из разных источников, о чём и говорится в статье) — это примерно то же самое, что apt update. А потом, да, для обновляемых пакетов выкачиваются архивы с исходниками и они компилируются, всё по-взрослому. Впрочем, если у Вас много однотипных серверов, то скомпилировать обновляемые пакеты можно на одном, а на остальные поставить обычные бинарные пакеты созданные на первом сервере.

Ayahuaska Jun 30 2018 at 14:54

Можно создать билд-сервер на основе Дебиана, например? Тип собирать на более-менее мощной железке на дебиане пакеты для слабенькой на генте? (:

alexr64 Jun 30 2018 at 19:06

Разверните stage-3 тарбол, chroot'нитесь, обновитесь, выставьте те же use-флаги, что и на целевой машине. -march и -mtune тоже с целевой машины (уже после обновления gcc). И собирайте себе пакеты.

artiom_n Jun 29 2018 at 20:55

Любопытно было бы почитать, как им это удалось. Надеюсь, опубликуют данные по расследованию инцидента.

Dvlbug Jun 29 2018 at 21:00

Скорее всего, как обычно, общие пароли на разных сайтах.
Почему так считаю? Потому что взломали доступ к второстепенному сайту, а не основному.
Будь у злоумышленников прямой доступ к компьютеру разработчика, так просто бы не обошлось.

rPman Jun 29 2018 at 22:33

Больше интересно что именно хотели и сделали злоумышленники? Какие проекты модифицировали и как.

willyd Jun 30 2018 at 03:33

Так история гита для публичного репозитория открыта. Момент времени с которого все началось указан. По-моему этого достаточно.