The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В пакете для организации групповой работы Horde обнаружен бэ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от opennews (ok) on 14-Фев-12, 18:45 
Разработчики проекта Horde (http://www.horde.org/), в рамках которого развивается серия свободных продуктов для организации совместной работы корпоративных пользователей, сообщили (http://permalink.gmane.org/gmane.comp.horde.announce/708) о выявлении факта внедрения бэкора в некоторые из установочных пакетов. Подробности совершения атаки не приводятся, известно лишь то, что пакеты были модифицированы в результате взлома первичного FTP-сервера проекта. Интегрированный бэкдор позволяет удалённому злоумышленнику выполнить произвольный PHP-код на сервере.


Сообщается, что бэкдор был внедрён только в пакеты с Horde 3.3.12, Groupware 1.2.10  и Horde Groupware Webmail Edition 1.2.10. Модифицированные злоумышленниками версии распространялись с начала ноября по 7 февраля. Пользователям указанных версий рекомендуется удостовериться, что их системы не содержат вредоносного кода.  Для этого достаточно осуществить поиск в исходных текстах по маске "$m[1]($m[2])".


Производители Linux-дистриб...

URL: http://permalink.gmane.org/gmane.comp.horde.announce/708
Новость: http://www.opennet.dev/opennews/art.shtml?num=33087

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В пакете для организации групповой работы Horde обнаружен бэ..."  +2 +/
Сообщение от Клыкастый (ok) on 14-Фев-12, 18:45 
пааанеслась. год назад ещё писал, что при усилении позиций опенсорса собсвенно эксплуатация уязвимостей будет применяться реже, а вот атаки на "первоисточник" - гораздо чаще. там - ахиллесова пята. разработчикам - терпения и внимательности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В пакете для организации групповой работы Horde обнаружен бэ..."  +5 +/
Сообщение от Аноним (??) on 14-Фев-12, 18:47 
Ну нет же проблем если дистрибостроители верифицируют сорцы используя ЭЦП.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от rusty_angel (ok) on 14-Фев-12, 19:01 
А откуда дистростроители берут исходники? С уже скомпрометированных серверов проектов. Вот если все будут вместе с архивами выкладывать контрольные суммы…
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "В пакете для организации групповой работы Horde..."  +2 +/
Сообщение от arisu (ok) on 14-Фев-12, 19:05 
> А откуда дистростроители берут исходники?

из окаменелостей. ну что стоит девелоперам перестать раздавать окаменелости и вместо этого просто публиковать sha релизного коммита?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "В пакете для организации групповой работы Horde обнаружен бэ..."  +4 +/
Сообщение от Lain_13 email on 14-Фев-12, 19:20 
Git не был скомпрометирован. Сломали только FTP.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Аноним (??) on 14-Фев-12, 19:31 
Во люди. Пишут же про ЭЦП. Контрольную сумму легко подделать, ЭЦП - нет (если рядом приватные ключи не раскидывать). И ничего страшного нет в том чтобы публиковать релиз. Да хоть патчи (с ЭЦП) публикуйте в таком случае.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от klalafuda on 14-Фев-12, 21:35 
> Во люди. Пишут же про ЭЦП. Контрольную сумму легко подделать, ЭЦП - нет (если рядом приватные ключи не раскидывать). И ничего страшного нет в том чтобы публиковать релиз. Да хоть патчи (с ЭЦП) публикуйте в таком случае.

А если приватный ключ лежит рядом с password.txt из которого по всей видимости и увели аки на FTP?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

38. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от rain87 on 15-Фев-12, 12:02 
то ссзб, очевидно
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

51. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Клыкастый (ok) on 15-Фев-12, 20:21 
> то ссзб, очевидно

от этого не легче

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

21. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от FFASM (ok) on 14-Фев-12, 21:16 
Это уже давно и делается всеми, кто пользуется git.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

44. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Аноним (??) on 15-Фев-12, 15:17 
А что мешает подменить запись о контрольной сумме на странице проекта?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

46. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Аноним (??) on 15-Фев-12, 15:45 
Речь не о контрольной сумме, а о подписывании кода личной подписью разработчика, и последующей верификации авторами дистрибутивов.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

48. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Аноним (??) on 15-Фев-12, 15:47 
^ пардон, не посмотрел кому отвечаю.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

49. "В пакете для организации групповой работы Horde обнаружен бэ..."  –1 +/
Сообщение от Клыкастый (ok) on 15-Фев-12, 16:06 
Я предлагаю посмотреть в общем и целом. Проблема стоит  так, что опенсорс более уязвим именно на стадии написания и распространения исходников. И контрольные суммы - это даже не тень решения проблемы в целом.
- в проект надо набирать людей. надо как-то проверять их самих и требования к рабочему месту. это раз.
- разработчик должен иметь подпись.
- проект должен уметь работать с подписями и проверять валидность кода.
- должна быть секурити тим.
- тот, кто код берёт, должен иметь возможность проверить его аутентичность.

в общем и целом это уже совсем не пионэрство "пишу для удовольствия", это очень серьёзно. и требует слаженного взаимодействия между всеми участниками. но этим заниматься не хочется, хочется же побегать босиком за Столлманом и покидаться какашками в BSD.


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

55. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Анон on 16-Фев-12, 14:21 
> в общем и целом это уже совсем не пионэрство "пишу для удовольствия", это очень серьёзно. и требует слаженного взаимодействия между всеми участниками. но этим заниматься не хочется, хочется же побегать босиком за Столлманом и покидаться какашками в BSD.

Вообще-то, базарная разработка - это Торвальдс как популяризатор и Реймонд как теоретик. Столлман же описывает модель распространения, а не разработки.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

56. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Клыкастый (ok) on 16-Фев-12, 22:47 
> Вообще-то, базарная разработка - это Торвальдс как популяризатор и Реймонд как теоретик.

тем не менее именно линукс паровоз опенсорса.

> Столлман же описывает модель распространения, а не разработки.

описал он её уже давно, и за это ему спасибо гигантское. сейчас он описывает, как все должны жить. это не модель разработки, это проповедь.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

47. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Аноним (??) on 15-Фев-12, 15:46 
В таком случае все есть вероятность заражения исходников на машине разработчика, до подписывания.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "В пакете для организации групповой работы Horde обнаружен бэ..."  +1 +/
Сообщение от Аноним (??) on 14-Фев-12, 18:46 
Еще один аргумент за использование цифровой подписи.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В пакете для организации групповой работы Horde..."  +3 +/
Сообщение от arisu (ok) on 14-Фев-12, 19:04 
поэтому порочную практику «публикования релизов» давно пора отменить. вместо этого указывать на сайте команду для гита, которая вытащит именно то, что девелоперы назвали релизом.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В пакете для организации групповой работы Horde..."  +/
Сообщение от skJ on 14-Фев-12, 19:29 
а всем желающим попользоватся активно ставить себе бегом клиента для коннекта к очередной _cvs_system_, ню ню
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "В пакете для организации групповой работы Horde..."  +2 +/
Сообщение от arisu (ok) on 14-Фев-12, 19:51 
> а всем желающим попользоватся активно ставить себе бегом клиента для коннекта к
> очередной _cvs_system_, ню ню

скажи мне, милый друг: сколько этих самых желающих таки тащат тарболы с офсайта, а не берут из репозиториев своих дистрибутивов? и если уж они таки тащат тарболы, то для них не составит труда взять не тарбол, а срез гита.

но ты вряд ли об этом подумал, у тебя типичная психология диванного мыслителя: «я-то, конечно, понимаю, как это и что, но вот люди — люди, увы, не поймут…»

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

50. "В пакете для организации групповой работы Horde..."  +/
Сообщение от Клыкастый (ok) on 15-Фев-12, 16:15 
> а всем желающим попользоватся активно ставить себе бегом клиента для коннекта

apt-get отказывается ставить такие страшные вещи?

> к очередной _cvs_system_, ню ню

cvs, svn, git, mercurial. нет, я понимаю, что для рая на земле надо только apt-get, но у нас, обитателей мрачных лабиринтов соурс-бейзед, оно уже стоит. да. и я больше скажу. не будучи программистом как таковым приходится знать все четыре. хотя бы на уровне терминологии и общих принципов. и ты знаешь, ещё никто не умер. хотя я понимаю, проблема не в apt-get install mercurial, проблема потом разбираться. может случиться переполнение памяти ;)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "В пакете для организации групповой работы Horde..."  +/
Сообщение от Crazy Alex (ok) on 14-Фев-12, 19:35 
А в чем принципиальная разница? Ну поломают сервер с репозиторием - результат тот же. Ну ладно, при взломе гит почует, что контрольные суммы изменились, а остальные версионники? Навскидку еще штук пять вспомнить можно (svn, mercurial, bazaar, fossil, darcs) - из них хоть половина целостность проверяет?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "В пакете для организации групповой работы Horde..."  +/
Сообщение от анон on 14-Фев-12, 19:39 
пользуйтесь гитом - и будет безопасно :)
а также гораздо более удобно и функционально (имхо)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "В пакете для организации групповой работы Horde..."  +3 +/
Сообщение от arisu (ok) on 14-Фев-12, 19:55 
(задумчиво) значит, надо переходить на те, которые проверяют. или допиливать проверки в любимые. то, что где-то фичи нет — не причина сидеть и плакать, это повод допилить фичу туда, где её нет. ну право, пора уже что-то с окаменелыми тарболами делать. ну, то есть, не «что-то», а «забыть о них в большинстве случаев».

p.s. централизованые системы я вообще тут не рассматриваю: это такая же окаменелая фигня, как и тарболы.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

52. "В пакете для организации групповой работы Horde..."  +/
Сообщение от Клыкастый (ok) on 15-Фев-12, 20:24 
> (задумчиво) значит, надо переходить на те, которые проверяют. или допиливать проверки в
> любимые. то, что где-то фичи нет — не причина сидеть и
> плакать, это повод допилить фичу туда, где её нет.

истинно так. но легко свести лошадь к воде, но невозможно заставить её пить. фичи напишут, ещё бы на них не забивали.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "В пакете для организации групповой работы Horde..."  +/
Сообщение от _Vitaly_ (ok) on 14-Фев-12, 20:12 
Упс, не туда ответ воткнулся. Это вам http://www.opennet.dev/openforum/vsluhforumID3/82997.html#15
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "В пакете для организации групповой работы Horde..."  +1 +/
Сообщение от Аноним (??) on 14-Фев-12, 20:32 
> А в чем принципиальная разница? Ну поломают сервер с репозиторием - результат тот же.

Ага, иди разломай гит так чтобы потом 100500 разработчиков не заметило этого. Удачи.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

24. "В пакете для организации групповой работы Horde..."  +1 +/
Сообщение от Crazy Alex (ok) on 14-Фев-12, 21:38 
Да довольно легко на самом деле - если больше одного человека имеет право на пуш лишний коммит с большой вероятностью даже замечен особо не будет. Ну обновилось что-то. Для достаточно большого проекта - пройдёт со свистом.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

30. "В пакете для организации групповой работы Horde..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 14-Фев-12, 23:02 
> если больше одного человека имеет право на пуш

...то это уже SVN какой-то.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "В пакете для организации групповой работы Horde..."  +/
Сообщение от Аноним (??) on 14-Фев-12, 22:56 
> поэтому порочную практику «публикования релизов» давно пора отменить. вместо
> этого указывать на сайте команду для гита, которая вытащит именно то,
> что девелоперы назвали релизом.

Сравним:
Вы предлагаете скачивать из $VCSNAME. При этом это может быть git, svn, cvs, ...
Нужно всегда знать, как проверять "релиз" в очередной VCS. Хорошо, если это всегда git.
Тарболл можно подписать. Чем этот вариант вам не понравился? Обычно подписывают с помощью gpg. Способ проверки всегда одинаков, будь это хоть бинарник. Вы предлагаете мне заочно стать разработчиком, хотя я ничего и не разрабатываю обычно?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

31. "В пакете для организации групповой работы Horde..."  –1 +/
Сообщение от arisu (ok) on 14-Фев-12, 23:05 
(пожимает плечами) о боги, человек, ну что же вы такие линейные-то? вроде бы и скрипты давно придумали — а толку ноль… для этих ваших разных scs и билд-контролей можно скрипт написать. один раз. положить к себе в репозиторий. и больше не мучаться. попутно получив возможность проверять не только тарбол, который авторы выложить соизволили.

дала природа мозг, а зачем — пояснить забыла…

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

34. "В пакете для организации групповой работы Horde..."  +1 +/
Сообщение от Аноним (??) on 15-Фев-12, 00:02 
> (пожимает плечами) о боги, человек, ну что же вы такие линейные-то? вроде
> бы и скрипты давно придумали — а толку ноль… для этих
> ваших разных scs и билд-контролей можно скрипт написать. один раз. положить
> к себе в репозиторий. и больше не мучаться. попутно получив возможность
> проверять не только тарбол, который авторы выложить соизволили.
> дала природа мозг, а зачем — пояснить забыла…

Я совершенно не понял вашего возмущения. Наверное, мы с разными окружениями работаем.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

53. "В пакете для организации групповой работы Horde..."  +/
Сообщение от Клыкастый (ok) on 15-Фев-12, 20:32 
>> поэтому порочную практику «публикования релизов» давно пора отменить. вместо
>> этого указывать на сайте команду для гита, которая вытащит именно то,
>> что девелоперы назвали релизом.
> Сравним:
> Вы предлагаете скачивать из $VCSNAME. При этом это может быть git, svn,
> cvs, ...
> Нужно всегда знать, как проверять "релиз" в очередной VCS. Хорошо, если это
> всегда git.

в упор не вижу проблемы. md5/sha в портах/портежах проверяются, никто не парится. так же можно и подпись проверять.


> Вы предлагаете мне заочно стать разработчиком, хотя я ничего и не разрабатываю обычно?

исходники вам зачем тогда? если нужны - нет же проблем разобраться?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "В пакете для организации групповой работы Horde..."  +/
Сообщение от Michael Shigorin email(ok) on 14-Фев-12, 23:00 
> поэтому порочную практику «публикования релизов» давно пора отменить.

Да ну, тарболы порой лучше полной истории.

> вместо этого указывать на сайте команду для гита, которая вытащит именно то,
> что девелоперы назвали релизом.

Бишь аннотированный и (крайне желательно) подписанный тег.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

32. "В пакете для организации групповой работы Horde..."  –1 +/
Сообщение от arisu (ok) on 14-Фев-12, 23:08 
>> поэтому порочную практику «публикования релизов» давно пора отменить.
> Да ну, тарболы порой лучше полной истории.

по-моему, у всех нормальных scs есть возможность не качать полную историю. зато — в отличие от тарбола — можно взять и проверить любой интересный срез, а не только то, что на сайте положили.

>> вместо этого указывать на сайте команду для гита, которая вытащит именно то,
>> что девелоперы назвали релизом.
> Бишь аннотированный и (крайне желательно) подписанный тег.

ну да. это уже частности организации конкретного процесса.

впрочем, «релизы» как таковые — тоже пережитки прошлого. зачем? «коммит xyz — стабильный коммит». чего ради релизы выпускать, номерами заморачиваться?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

15. "В пакете для организации групповой работы Horde обнаружен бэ..."  –1 +/
Сообщение от _Vitaly_ (ok) on 14-Фев-12, 20:11 
google "%myvcs% sign commit"

git/mercurial/bazaar точно умеют коммиты подписывать. И на сервисах типа гитхаба генерация архивов интегрирована. C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от klalafuda on 14-Фев-12, 22:45 
> C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают.

Факт!

ftp://ftp.mozilla.org/pub/firefox/releases/latest-10.0/source/
ftp://ftp.kde.org/pub/kde/stable/latest/src/
ftp://ftp.gnome.org/pub/gnome/sources/
ftp://ftp.gnu.org/pub/gnu/
.............

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

27. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Аноним (??) on 14-Фев-12, 22:58 
>> C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают.
> Факт!
> ftp://ftp.mozilla.org/pub/firefox/releases/latest-10.0/source/
> ftp://ftp.kde.org/pub/kde/stable/latest/src/
> ftp://ftp.gnome.org/pub/gnome/sources/
> ftp://ftp.gnu.org/pub/gnu/
> .............

У большинства есть http-зеркала, откуда качать зачастую намного удобнее, чем выкачивать с ftp, обычно без многопоточной загрузки (ftp ограничивают это, уже за это его пора бы отправить на свалку).

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "В пакете для организации групповой работы Horde обнаружен бэ..."  +1 +/
Сообщение от Аноним (??) on 14-Фев-12, 22:59 
>ftp сервера обычно ограничивают это,
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

22. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Аноним (??) on 14-Фев-12, 21:24 
7 февраля какого года?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Аноним (??) on 15-Фев-12, 08:23 
Почему на kernel.org все исходники имеют свои цифровые подписи, а тут никто не позаботился? Чеще делать,чаще проверять - вот и все !)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Аноним (??) on 15-Фев-12, 13:01 
Почему ты считаешь, что цифровая подпись хоть что-то гарантирует?

В концепции PKI важна не цифровая подпись сама по себе, а то, кто ее ставит. И доверяешь ли ты тому, кто подписывает. Причем лично я считаю, что понятия "доверие" и "безопасность" ортогональны. Нет доверия. Есть знание.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

42. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от Michael Shigorin email(ok) on 15-Фев-12, 13:37 
> Нет доверия.
> Есть знание.

Сколько будет два плюс два?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

43. "В пакете для организации групповой работы Horde..."  +/
Сообщение от arisu (ok) on 15-Фев-12, 14:26 
>> Нет доверия.
>> Есть знание.
> Сколько будет два плюс два?

например, 11.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

45. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от фыва on 15-Фев-12, 15:34 
2+2=22
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

54. "В пакете для организации групповой работы Horde обнаружен бэ..."  +/
Сообщение от R on 15-Фев-12, 20:36 
>> Нет доверия.
>> Есть знание.
> Сколько будет два плюс два?

А сколько Вам надо? (С) ;)


Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру