Неделю назад в списке рассылки анонсов проекта Fedora был опубликован (http://www.opennet.dev/opennews/art.shtml?num=17417) призыв не производить загрузку или обновление пакетов до специального объявления. Сегодня работа серверов была полностью восстановлена, а причины проблем раскрыты (http://www.mail-archive.com/fedora-announce-list@redhat...).
Сообщается, что проблемы затронули не только Fedora, но и серверы Red Hat. Злоумышленники неизвестным способом получили контроль над машинами и смогли сформировать (http://rhn.redhat.com/errata/RHSA-2008-0855.html) цифровые подписи для нескольких фиктивных пакетов с OpenSSH, ключами от RHEL 4 и RHEL 5. В репозиториях Fedora и Red Hat пакетов с нарушенной целостностью отмечено не было.
Причина утечки пароля для подписывания пакетов так и не была установлена. Скрипт для выявления фиктивных openssh пакетов представлен на данной странице (http://www.redhat.com/security/data/openssh-blacklist.html) (риск получить фиктивное о...
URL: http://www.mail-archive.com/fedora-announce-list@redhat...
Новость: http://www.opennet.dev/opennews/art.shtml?num=17510