Хакеры скомпрометировали репозитории Gentoo Linux на GitHub



    28 июня 2018, приблизительно в момент времени 20:20 UTC, неустановленые субьекты заполучили контроль над административными аккаунтами Gentoo на Github и произвели модификации кода в репозиториях и на справочных страницах. Данная информация распространена в официальной рассылке проекта Алеком Уорнером. В данный момент команда разработчиков работает над расследованием событий и устранением нарушений.

    Все зеркала проекта Gentoo на Github следует считать скомпрометированными. Если вы что-то скачивали с этих ресурсов после даты взлома — вы находитесь в зоне риска. Сама инфраструктура проекта Gentoo, по имеющейся информации, не затронута.

    Алек Уорнер отмечает, что обычно все легитимные коммиты в код Gentoo подписаны цифровой подписью, поэтому их можно верифицировать с помощью утилит git. GitHub не является основным местом разработки Gentoo Linux, а весь код и коммиты просто зеркалируются из репозиториев на серверах обственной инфраструктуры Gentoo.

    Юзер dartraiden уточняет:
    Взломано лишь зеркало на GitHub…
    Это зеркало, в основном, для приёма пулл-реквестов, оно не предназначено для того, чтобы пользователи тянули с него обновления, там нет ни Metadata с контрольными суммами, ни ebuild-ов.

    Для пользователей, которые хотят обновляться именно с GitHub, есть отдельное зеркало, оно тоже не пострадало.
    Поделиться публикацией

    Похожие публикации

    Комментарии 19
      –11
      Все зеркала проекта Gentoo на Github следует считать скомпрометированными.

      Microsoft купили github, понеслось..

        +1
        Алек Уорнер отмечает, что обычно все легитимные коммиты в код Gentoo подписаны цифровой подписью, поэтому их можно верифицировать с помощью утилит git.

        Как это можно автоматизировать при emerge --sync (eix-sync)?
          0
          с каких пор emerge тянет portage из github?
            +3
            С тех пор, когда настроишь вручную.

            Такой взлом может быть и в родной инфраструктуре Gentoo, лучше настроить автоматизацию проверок заранее.
            +2
            Взломано лишь зеркало на GitHub, основная инфраструктура Gentoo, в том числе основной репозиторий (который располагается на их серверах) не затронута. Это зеркало, в основном, для приёма пулл-реквестов, оно не предназначено для того, чтобы пользователи тянули с него обновления, там нет ни Metadata с контрольными суммами, ни ebuild-ов.

            Для пользователей, которые хотят обновляться именно с GitHub, есть отдельное зеркало, оно тоже не пострадало.
              0
              Это я знаю. Вопрос был в другом. Он абстрактный и независим от этой ситуации.
            –5
            это кто-то пытается скомпрометировать мс заранее? или мс так незамысловато добавляет экшена к сценарию?
              +9
              Да это ж Microsoft просто решил поправить баги в gentoo.
                –10

                Ну почему сразу "неустановленные субъекты"? Это вполне себе сотрупники Майкрософт.

                  +1

                  А на чем основаны ваши выводы?

                    +3
                    На чувстве йумора.
                  0
                  Прошу прощения за нубский вопрос, только из любопытства
                  Как происходит обновление пакетов у Gentoo? Так же, как легендарная компиляция из исходников при установке ОС? Листал однажды FAQ по Emerge, но там только команды были, но не вывод.
                    0

                    Так же. :) Сначала скачивается обновление ebuild-ов (sh-файлов с инструкциями для сборки) для всех пакетов (они как раз обычно подписаны, хотя это можно отключить и можно качать их из разных источников, о чём и говорится в статье) — это примерно то же самое, что apt update. А потом, да, для обновляемых пакетов выкачиваются архивы с исходниками и они компилируются, всё по-взрослому. Впрочем, если у Вас много однотипных серверов, то скомпилировать обновляемые пакеты можно на одном, а на остальные поставить обычные бинарные пакеты созданные на первом сервере.

                      0
                      Можно создать билд-сервер на основе Дебиана, например? Тип собирать на более-менее мощной железке на дебиане пакеты для слабенькой на генте? (:
                        0
                        Разверните stage-3 тарбол, chroot'нитесь, обновитесь, выставьте те же use-флаги, что и на целевой машине. -march и -mtune тоже с целевой машины (уже после обновления gcc). И собирайте себе пакеты.
                    0
                    Любопытно было бы почитать, как им это удалось. Надеюсь, опубликуют данные по расследованию инцидента.
                      +2
                      Скорее всего, как обычно, общие пароли на разных сайтах.
                      Почему так считаю? Потому что взломали доступ к второстепенному сайту, а не основному.
                      Будь у злоумышленников прямой доступ к компьютеру разработчика, так просто бы не обошлось.
                        +3
                        Больше интересно что именно хотели и сделали злоумышленники? Какие проекты модифицировали и как.
                          +3
                          Так история гита для публичного репозитория открыта. Момент времени с которого все началось указан. По-моему этого достаточно.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое