kernel.org pwn3d

 ( Hunger | 2011. augusztus 31., szerda - 22:51 )

A vicc az, hogy egy script kiddie volt (vagy mégrosszabb, egy bot), úgyhogy jól mutatja milyen remekül van védve a kernel.org infrastruktúra és mennyire van biztonságban a Linux kernel forráskódja és a kapcsolódó projektek...

Szerk.: buherator részletesebben ír róla a blogjában.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

[ oI3 like]
___
info

Lemaradtam valamiről?

----------------
Lvl86 Troll

Á, csak valakik hívatlanul és helyben olvasással tették magukévá a "több szem, többet lát" elvet a kernel.org mögötti vasakon tárolt dolgokkal kapcsolatban...

Nem tudjuk, hogy egy script kiddie volt-e (vagy egy bot) és biztonságban vannak a repositoryk, mivel azokat nem érinti ez az eset.

Ettől persze még meglehetősen kellemetlen a helyzet.

"Upon some investigation there are a couple of kernel.org boxes, specifically hera and odin1, with potential pre-cursors on demeter2, zeus1 and zeus2, that have been hit by this."

Ha a webszerok ennyire voltak biztonsagban, akkor a git szerverek meg kevesbe lehettek biztositva. En azert aggodnek.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

ilyenkor azert jo, hogy nem svn-t hasznalnak a kernel fejlesztesehez.
ott siman meg tudnad hamisitani a repot historyval egyutt ugy, hogy eleg nehez lenne eszrevenni.
ezzel szemben a git-nel eloszor kellene nemi sha1 utkozeseket generalni, majd az osszes clone-t megpatkolni, anelkul hogy valaki eszrevenne.
http://simone-bruno.blogspot.com/2010/02/git-security-model.html

igy viszont maximum csak a tamadas idopontja utani commitokat kell atnezni.
szerintem az nagyobb szopas lehet, hogy barki aki az erintett gepeken tarolt privat kulcsot, vagy besshzott a tamadas ota, annak a privat kulcsat, jelszavat fel lehet hasznalni tovabbi tamadasokhoz(pl. a letoltheto tarballok manipulalasahoz, vagy mar csak git-en keresztul erheto el a kernel forras?).

Tyrael

Mert ugye backuppal nem lehet összehasonlítani és ugye SHA1-t sem lehet készíteni a delta fájlokról?

----------------
Lvl86 Troll

nem ment at a lenyeg szerintem.

Tyrael

ne kezd te is ezt a gites hülyeséget...

:)
de kivancsi lennek, miert tartod hulyesegnek.
idevago video:
http://www.youtube.com/watch?v=4XpnKHJAok8&t=56m30s
http://www.youtube.com/watch?v=4XpnKHJAok8&t=62m50s

Tyrael

már így is túlbeszélve a másik topicban, nem kívánnék felesleges köröket futni, ha nem haragszol :)

akkor csak egy linket pls!

Tyrael

Azt mibol lehet leszurni, hogy egy script kiddie volt?
--
HUP Firefox extension

"Trojan initially discovered due to the Xnest /dev/mem error message w/o Xnest installed"