29.07.2014 | Хакер подменил страницы на сайте репозитория RPM Fusion |
Хакер Никита Чураев подменил на сайте репозитория RPM Fusion некоторые страницы в целях демонстрации уязвимости в безопасности. Пользователи, желающие скачать из rpmfusion.org/Configuration пакет репозитория для любого дистрибутива, перенаправляются на страницу rpmfusion.org/Insecure, где содержится ссылка на уведомление о проблеме. Проблема заключается в том, что на сайте используется вики-движок, позволяющий любому новому пользователю редактировать содержимое страниц (в том числе, инструкции и списки для загрузки). Кроме того, существует ошибка инструкции по верификации пакетов с использованием открытого ключа до начала установки. «Как можно за шесть лет не понять, что любой может подменить ссылки загрузки на вирусы? Мои первые изменения не были откачены несколько часов. Да, я понимаю, что если бы по настоящему выложили вирус, тогда бы защитили страницы, но нельзя было сразу догадаться? (ред. – орфография автора сохранена)», - написал Чураев на форуме linux.org. «Первая инструкция по проверке: «If you have newly installed the rpmfusion-*-release.rpm repo packages, and wish to verify its keys, check the fingerprints below». И дураку понятно, что проверять надо до установки, а не после. Если пакет уже установлен, считай – заразился», - отметил хакер. По словам Чураева, вторая инструкция дает только ложное чувство безопасности, поскольку ключ на pgp.mit.edu можно опубликовать, используя любой электронный адрес, который не проверяется. «Так что даже если ключ от rpmfusion-buildsys@lists.rpmfusion.org - это не значит, что ключ от RPM Fusion», - добавил он. |
Проверить безопасность сайта