|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форумы Разговоры, обсуждение новостей (Public) | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от opennews on 15-Июл-08, 13:22 | |
Исследователи из университета Аризоны опубликовали отчет (http://www.cs.arizona.edu/people/justin/packagemanagersecuri...) по проблемами безопасности, возникающих при работе менеджеров пакетов в Linux. Основной акцент сделан на том, что утилиты, такие как | |
Высказать мнение | Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от анонимус on 15-Июл-08, 13:22 | |
а типа в генте всё гуд. компилятсия рулед. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
4. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Аноним (??) on 15-Июл-08, 13:34 | |
Всё ровно так же - подменяется сервер обновлений, ебилд популярного приложения "правится" на исходник с пропатченным приложением, и опля - у Вас на борту чужой. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
13. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от TTT on 15-Июл-08, 15:14 | |
>Всё ровно так же - подменяется сервер обновлений, ебилд популярного приложения "правится" | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
20. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от анонимус on 15-Июл-08, 16:21 | |
плюсадиню | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
26. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Michael Shigorin (ok) on 15-Июл-08, 17:37 | |
>плюсадиню | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
43. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от User294 (ok) on 16-Июл-08, 17:23 | |
>PS: гентушники более уязвимы ещё и для configure-троянов навроде сендмыльного... | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
2. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Аноним (??) on 15-Июл-08, 13:24 | |
Господа, с такой паранойей лучше вообще в сеть не выходить | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
3. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от ifel (??) on 15-Июл-08, 13:28 | |
Ну насчет левых репозиториев и подмен - GPG сигнатуры никто не отменял, RPM например умеет. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
5. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Аноним (??) on 15-Июл-08, 13:36 | |
>Ну насчет левых репозиториев и подмен - GPG сигнатуры никто не отменял, | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
8. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от ifel (??) on 15-Июл-08, 13:53 | |
>>Ну насчет левых репозиториев и подмен - GPG сигнатуры никто не отменял, | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
6. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Аноним (??) on 15-Июл-08, 13:45 | |
короче, коммерческие линуксы рулят | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
7. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от mend0za on 15-Июл-08, 13:47 | |
Не скажу за перечисленные RPM-based дистрибутивы, но насколько я понял товарищи не вникали в apt-based совсем. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
9. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от ifel (??) on 15-Июл-08, 13:56 | |
Согласен по всем пунктам. По "бла-бла-бла, а не исследование" вдвойне! | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
10. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Аноним (??) on 15-Июл-08, 13:56 | |
Диагностика - половина лечения. Народ осознал наличие проблемы и говорит, что надо решать. Так же предлагают некоторые меры. Тем, кто занимается разработкой систем управления пакетами будет не очень дальновидно - пропустить как информационный шум". А пользовательское дело - мычачее: ешь, что дают. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
12. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Pilat (ok) on 15-Июл-08, 14:08 | |
>В копиях официальных зеркал Debian содержится файлик Release с MD5 всех файлов | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
14. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от pavel_simple (??) on 15-Июл-08, 15:34 | |
>>В копиях официальных зеркал Debian содержится файлик Release с MD5 всех файлов | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
16. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Aquarius on 15-Июл-08, 15:46 | |
гугл поможет тебе осознать, что md5 можно подделать в короткие сроки | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
18. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Pilat (ok) on 15-Июл-08, 15:58 | |
>>MD5 подделать можно. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
19. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от pavel_simple (??) on 15-Июл-08, 16:01 | |
вы оба я смотрю особенно хорошо изучили google? -- тогда может скажите КАК это делать если он ПОДПИСАН | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
33. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Александр (??) on 16-Июл-08, 00:18 | |
> MD5 подделать можно. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
11. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Аноним (??) on 15-Июл-08, 14:05 | |
Решение простое - ставить из портов, обновленных portsnap. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
46. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Shane (ok) on 20-Июл-08, 14:36 | |
>Решение простое - ставить из портов, обновленных portsnap. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
15. "OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от Xavier on 15-Июл-08, 15:41 | |
Похоже, на сей раз ФриБСД сделала Линуксы. Ну хоть по защищенности :) | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
17. "OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от Aquarius on 15-Июл-08, 15:52 | |
не на сей, а во веки веков 8) | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
23. "OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от Анонимус on 15-Июл-08, 16:34 | |
> во веки веков | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
22. "OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от Анонимус on 15-Июл-08, 16:34 | |
> Похоже, на сей раз ФриБСД сделала Линуксы. Ну хоть по защищенности :) | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
24. "OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от Осторожный on 15-Июл-08, 16:41 | |
>Похоже, на сей раз ФриБСД сделала Линуксы. Ну хоть по защищенности :) | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
25. "OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от Анонимус on 15-Июл-08, 17:31 | |
Глупенький, о информативности пакетов никто не говорит. Говорят о их подмене. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
35. "OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от fi (ok) on 16-Июл-08, 00:38 | |
Авторы прогнали, все rpm подписаны и тот же yum вылетает на чужих пакетах, пока ключ не импортируешь с сайта автора. Естественно, ключи к основной системе идут вместе с ней. И на сколько я знаю с deb-ами тоже самое. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
47. "OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от nuclight (ok) on 27-Июл-08, 21:59 | |
>А вот с freebsd действительно есть проблема, tgz не подписываются, подменить порты | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
37. "OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от Александр (??) on 16-Июл-08, 00:56 | |
> Цель обновления пакета может быть разная: | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
40. "OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от just_another_anonymous on 16-Июл-08, 09:08 | |
> Он позволяет проверить наличие уязвимостей в уже установленных пакетах, | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
27. "OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от Michael Shigorin (ok) on 15-Июл-08, 17:45 | |
>Похоже, на сей раз ФриБСД сделала Линуксы. Ну хоть по защищенности :) | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
34. "OpenNews: Отчет о проблемах безопасности при работе менеджер..." | |
Сообщение от Александр (??) on 16-Июл-08, 00:34 | |
>Похоже, на сей раз ФриБСД сделала Линуксы. Ну хоть по защищенности :) | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
21. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Анонимус on 15-Июл-08, 16:33 | |
По большому счёту надуманная проблема, хотя потенциально опасна в IPv4, если кто-то научится ломать DNS, но только пока не выпустят пацч. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
28. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Michael Shigorin (ok) on 15-Июл-08, 17:47 | |
>По большому счёту надуманная проблема, хотя потенциально опасна в IPv4, если кто-то | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
36. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от fi (ok) on 16-Июл-08, 00:43 | |
> Там было про злонамеренное публичное "зеркало" -- при этом без разницы v4/v6. И DNS спуфить необязательно. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
38. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Александр (??) on 16-Июл-08, 01:17 | |
> Авторы статьи облажались - эта проблема была решена еще когда стали делать первые зеркала - более 10 лет назад. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
41. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от fi (ok) on 16-Июл-08, 10:11 | |
И этот случай предусмотрен. Например, в yum указывается не репозитарий, а список их: | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
29. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Аноним (??) on 15-Июл-08, 18:14 | |
такой бред )) ключи сравниваются. в RPM не поставишь пока сам не нажмёшь то есть потвердиш ключ. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
30. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Анонимус on 15-Июл-08, 21:30 | |
В общем понял - Линукс такойже дырявый как и Винда, тка что нечего время тратить на изучение. Там одно - тут другое... | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
31. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от anonymous (??) on 15-Июл-08, 23:12 | |
Так и не трать. И на новости про Linux тоже. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
32. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от szh (ok) on 15-Июл-08, 23:32 | |
по-моему ты вообще ничего не понял | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
39. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Аноним (??) on 16-Июл-08, 03:10 | |
Помоему вообще мало кто что понял))))) | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
42. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от Sarge (??) on 16-Июл-08, 12:16 | |
Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий положить например версию пакета 0.1 с кучей уязвимостей (пакет взять из старого официального репозитария, т.е. он будет правильно подписан). Но файлы метаданных заменить на файлы из свежего пакета. В результате менеджер пакетов будет думать, что это новая версия и она правильно подписана. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
44. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от fi (ok) on 17-Июл-08, 00:09 | |
>И какие системы пакетов на сегодня уязвимы для этого? | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
45. "Отчет о проблемах безопасности при работе менеджеров пакетов..." | |
Сообщение от poni on 19-Июл-08, 03:18 | |
>>И какие системы пакетов на сегодня уязвимы для этого? | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Индекс форумов | Темы | Пред. тема | След. тема |
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ] |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |