Biztonsági incidens a Ceph community és az Inktank szerverein

AlmaLinux, CentOS, Fedora, Red Hat, Rocky Linux

A Red Hat Security Blog-on jelent meg egy figyelmeztetés azzal kapcsolatban, hogy a Red Hat illetéktelen behatolást vizsgált ki mind a Ceph közösségi projekt (ceph.com), mind az Inktank (download.inktank.com) szerverén. Az előzetes vizsgálat alapján arra jutottak, hogy a letöltésre kínált kódok (Red Hat Ceph Storage for Ubuntu and CentOS) integritása nem sérült, azokat nem piszkálták, de azt nem tudják jelenleg teljes mértékben kizárni, hogy a múltban valamikor nem szolgáltak ki ezek a szerverek kompromittált kódot.

Mivel a Red Hat nem már nem volt biztos az Inktank aláírókulcsának integritásában, készítettek a Red Hat Ceph Storage termékek e csomagjaiból a Red Hat standard kiadási kulcsával aláírt verziókat.

A Ceph közösség is lépett, új aláírókulcsot generált a letöltésre kínált csomagjaik ellenőrzéséhez.

A Red Hat szerint a Red Hat Ceph Storage CentOS-es és ubuntus felhasználóinak elővigyázatosságból érdemes az újonnan letöltésre kínált termékverziókat letölteniük és újrafordítaniuk.

A részletek itt olvashatók.