The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Возможно скомпрометировано одно из зеркал проекта KDE neon"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Возможно скомпрометировано одно из зеркал проекта KDE neon"  +/
Сообщение от opennews (??) on 21-Янв-17, 09:17 
Джонатан Риддел (Jonathan Riddell), развивающий дистрибутив KDE Neon (https://neon.kde.org/),
предупредил (http://jriddell.org/2017/01/21/reports-of-kde-neon-downloads.../) пользователей о проблемах с безопасностью на одном из зеркал, на которые организован автоматический проброс запросов со страницы загрузки iso-образов проекта. В частности, зеркало  ftp.icm.edu.pl отнесено (https://www.google.com/transparencyreport/safebrowsing/diagn...) сервисом  Google Safebrowsing к категории опасных из-за выявления в загрузках вредоносного ПО. В настоящее время в iso-образах  KDE neon на проблемном зеркале изменений не замечено, а администрация зеркала не подтвердила инцидент.  Пользователям рекомендуется обязательно проверять загружаемые сборки  KDE neon по цифровой подписи (https://keyserver.ubuntu.com/pks/lookup?op=get&search=0xDEAC...).


    gpg2 --recv-key '348C 8651 2066 33FD 983A 8FC4 DEAC EA00 075E 1D76'

    wget http://files.kde.org/neon/images/neon-useredition/current/ne...

    gpg2 --verify neon-useredition-current.iso.sig
    gpg: Signature made Thu 19 Jan 2017 11:18:13 GMT using RSA key ID 075E1D76
    gpg: Good signature from "KDE neon ISO Signing Key (neon@kde.org)" [full]


URL: http://jriddell.org/2017/01/21/reports-of-kde-neon-downloads.../
Новость: http://www.opennet.me/opennews/art.shtml?num=45893

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  –8 +/
Сообщение от Аноним (??) on 21-Янв-17, 09:40 
Это не зеркало KDE Neon. Там лежит всё подряд: *BSD, соплярисы, cygwin и операционные системы. Прежде чем писать новость хотя бы проверили.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  +2 +/
Сообщение от Аноним (??) on 21-Янв-17, 09:59 
По вашей логике mirror.yandex.ru не зеркало кучи Linux-дистрибутивов, потому что они размещены вместе, а не по отдельности. Специально зеркала для одного проекта никто не создаёт, обычно зеркалируется сразу куча проектов. Поэтому ещё как зеркало KDE neon и ещё многих проектов. Проблема в том, что KDE neon автоматом перебрасывает на случайное зеркало, а не просто список предлагает.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  –1 +/
Сообщение от Аноним (??) on 21-Янв-17, 10:44 
По моей логике Google Safebrowsing мог что угодно там найти, потому как навалено всё в кучу. Причём здесь именно KDE Neon?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  +/
Сообщение от Аноним (??) on 21-Янв-17, 11:17 
А при этом:

  $ curl -I http://files.kde.org/neon/images/neon-useredition/current/ne...

   Digest: MD5=CJGYkSM/wsje738GnF5SQA==
   Digest: SHA=o2wNg9qRnYMPpq7t435JuFDEW14=
   Digest: SHA-256=+HIJLB2UgrsCh9R7FXRbDBySVgkVU49s+3WS/c+ru3M=
   Location: http://ftp.icm.edu.pl/packages/kde-applicationdata/neon/imag...

C files.kde.org автоматом на то зеркало перебрасывает (не только на ftp.icm.edu.pl, но там всего 5 зеркал, поэтому вероятность использования ftp.icm.edu.pl очень велика). Внезапное появление сайта в Google Safebrowsing может быть и ложным срабатыванием, скорее всего ломанули какой-то зеркалируемый проект, а может говорить и о взломе самого ftp.icm.edu.pl.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

6. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  +/
Сообщение от Аноним (??) on 21-Янв-17, 10:04 
Riddell говорит, что официальное зеркало http://jriddell.org/2017/01/21/reports-of-kde-neon-downloads.../
Ежу понятно, что там не только KDE neon.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  +4 +/
Сообщение от Anon2 on 21-Янв-17, 12:02 
а это нормально, получать цифровую подпись по http вместо https?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  +1 +/
Сообщение от Аноним (??) on 21-Янв-17, 12:30 
Меня тоже напрягает.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  –3 +/
Сообщение от дмитрий (??) on 21-Янв-17, 18:30 
Так онлайн же, перехватить и добавить это удел фантастики
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  –4 +/
Сообщение от freehck email(ok) on 21-Янв-17, 12:55 
> а это нормально, получать цифровую подпись по http вместо https?

Вполне. Это ж подпись, а не приватный ключ. :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  +/
Сообщение от IB on 21-Янв-17, 14:53 
Скорее бессмысленно получать эту подпись.
Всё равно для исошки нужно считать и сравнивать с публичной.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  +/
Сообщение от freehck email(ok) on 23-Янв-17, 08:48 
Почему же бессмысленно? Что Вас смущает?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

14. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  +/
Сообщение от Вы забыли заполнить поле Name on 21-Янв-17, 13:19 
Только лично при предъявлении паспорта.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  +1 +/
Сообщение от Брюс Шнайер on 21-Янв-17, 16:19 
Да, если ты перед этим удосужился добавить официальный PGP-ключ и убедился в его подлинности.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  +/
Сообщение от Брюс Шнайер on 21-Янв-17, 16:20 
Как показывает многолетняя практика, PGP - это слишком сложно не только для домохозяек, но и для 99% линуксойдов. Это печально.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Возможно скомпрометировано одно из зеркал проекта KDE neon"  +2 +/
Сообщение от Аноним (??) on 22-Янв-17, 14:36 
Как показывает многолетняя практика, за словами "как показывает многолетняя практика" обычно скрывают ложь.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Возможно, скомпрометировано одно из зеркал проекта KDE neon"  +/
Сообщение от Аноним (??) on 21-Янв-17, 19:29 
Криворукий админ сервера подставил людей и проект.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Возможно, скомпрометировано одно из зеркал проекта KDE neon"  –1 +/
Сообщение от KOT040188 (ok) on 21-Янв-17, 23:23 
Неон всё хуже и хуже. Куча глюков, багов и поломанных зависимостей, невозможно ничего установить. Плюс эти проблемы с безопасностью не в первый раз и кривой установщик. Я перешёл на бекпорты. Сейчас там свежий kde. Куча глюков сразу исчезли.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Возможно, скомпрометировано одно из зеркал проекта KDE neon"  –2 +/
Сообщение от Аноним (??) on 22-Янв-17, 05:55 
> Плюс эти проблемы с безопасностью...

Первый раз ему сломали репозиторий пакетов доблестные русские хакеры в ноябре прошлого года, чтобы сделать доброе дело и исправить в его репе Qt ( https://bugreports.qt.io/browse/QTBUG-53071 ), так как Риддел рукажоп и сам накладывать патчи не умеет.

В это раз русские хакеры решили зайти через зеркало в Польше, чтобы все таки подправить Qt, но Риддел не дремлет. :D

Я надеюсь в ЦРУ прочитают этот комментарий и добавят в свой отчет о кибератаках России на США, ну а там может и до Риддела дойдет, что надо все-таки научиться применять патчи, иначе русские хакеры не отстанут. :)


Ну а если серьезно, то я не знаю, что там у Вас с зависимостями. Я с ноября делаю aptitude full-upgrade и пока на текущий момент еще ни разу не было проблем с обновлениями пакетов.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Возможно, скомпрометировано одно из зеркал проекта KDE neon"  +/
Сообщение от KOT040188 (ok) on 22-Янв-17, 13:07 
А вы попробуйте установить kphotoalbum calibre qtcurve calligraflow.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Возможно, скомпрометировано одно из зеркал проекта KDE neon"  +1 +/
Сообщение от Аноним (??) on 23-Янв-17, 12:23 
Кот дело говорит. У меня неон умудрился даже интеловское видео сломать. Какого балмера он вообще дрова трогает?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

30. "Возможно, скомпрометировано одно из зеркал проекта KDE neon"  +/
Сообщение от Гость (??) on 24-Янв-17, 15:18 
Зато как орали когда в Минте мог быть обнаружен троян. И то - только с определенным DE и определенной битности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру