Джонатан Риддел (Jonathan Riddell), развивающий дистрибутив KDE Neon (https://neon.kde.org/),
предупредил (http://jriddell.org/2017/01/21/reports-of-kde-neon-downloads.../) пользователей о проблемах с безопасностью на одном из зеркал, на которые организован автоматический проброс запросов со страницы загрузки iso-образов проекта. В частности, зеркало ftp.icm.edu.pl отнесено (https://www.google.com/transparencyreport/safebrowsing/diagn...) сервисом Google Safebrowsing к категории опасных из-за выявления в загрузках вредоносного ПО. В настоящее время в iso-образах KDE neon на проблемном зеркале изменений не замечено, а администрация зеркала не подтвердила инцидент. Пользователям рекомендуется обязательно проверять загружаемые сборки KDE neon по цифровой подписи (https://keyserver.ubuntu.com/pks/lookup?op=get&search=0xDEAC...).
gpg2 --recv-key '348C 8651 2066 33FD 983A 8FC4 DEAC EA00 075E 1D76'wget http://files.kde.org/neon/images/neon-useredition/current/ne...
gpg2 --verify neon-useredition-current.iso.sig
gpg: Signature made Thu 19 Jan 2017 11:18:13 GMT using RSA key ID 075E1D76
gpg: Good signature from "KDE neon ISO Signing Key (neon@kde.org)" [full]
URL: http://jriddell.org/2017/01/21/reports-of-kde-neon-downloads.../
Новость: http://www.opennet.me/opennews/art.shtml?num=45893
Это не зеркало KDE Neon. Там лежит всё подряд: *BSD, соплярисы, cygwin и операционные системы. Прежде чем писать новость хотя бы проверили.
По вашей логике mirror.yandex.ru не зеркало кучи Linux-дистрибутивов, потому что они размещены вместе, а не по отдельности. Специально зеркала для одного проекта никто не создаёт, обычно зеркалируется сразу куча проектов. Поэтому ещё как зеркало KDE neon и ещё многих проектов. Проблема в том, что KDE neon автоматом перебрасывает на случайное зеркало, а не просто список предлагает.
По моей логике Google Safebrowsing мог что угодно там найти, потому как навалено всё в кучу. Причём здесь именно KDE Neon?
А при этом:$ curl -I http://files.kde.org/neon/images/neon-useredition/current/ne...
Digest: MD5=CJGYkSM/wsje738GnF5SQA==
Digest: SHA=o2wNg9qRnYMPpq7t435JuFDEW14=
Digest: SHA-256=+HIJLB2UgrsCh9R7FXRbDBySVgkVU49s+3WS/c+ru3M=
Location: http://ftp.icm.edu.pl/packages/kde-applicationdata/neon/imag...C files.kde.org автоматом на то зеркало перебрасывает (не только на ftp.icm.edu.pl, но там всего 5 зеркал, поэтому вероятность использования ftp.icm.edu.pl очень велика). Внезапное появление сайта в Google Safebrowsing может быть и ложным срабатыванием, скорее всего ломанули какой-то зеркалируемый проект, а может говорить и о взломе самого ftp.icm.edu.pl.
Riddell говорит, что официальное зеркало http://jriddell.org/2017/01/21/reports-of-kde-neon-downloads.../
Ежу понятно, что там не только KDE neon.
а это нормально, получать цифровую подпись по http вместо https?
Меня тоже напрягает.
Так онлайн же, перехватить и добавить это удел фантастики
> а это нормально, получать цифровую подпись по http вместо https?Вполне. Это ж подпись, а не приватный ключ. :)
Скорее бессмысленно получать эту подпись.
Всё равно для исошки нужно считать и сравнивать с публичной.
Почему же бессмысленно? Что Вас смущает?
Только лично при предъявлении паспорта.
Да, если ты перед этим удосужился добавить официальный PGP-ключ и убедился в его подлинности.
Как показывает многолетняя практика, PGP - это слишком сложно не только для домохозяек, но и для 99% линуксойдов. Это печально.
Как показывает многолетняя практика, за словами "как показывает многолетняя практика" обычно скрывают ложь.
Криворукий админ сервера подставил людей и проект.
Неон всё хуже и хуже. Куча глюков, багов и поломанных зависимостей, невозможно ничего установить. Плюс эти проблемы с безопасностью не в первый раз и кривой установщик. Я перешёл на бекпорты. Сейчас там свежий kde. Куча глюков сразу исчезли.
> Плюс эти проблемы с безопасностью...Первый раз ему сломали репозиторий пакетов доблестные русские хакеры в ноябре прошлого года, чтобы сделать доброе дело и исправить в его репе Qt ( https://bugreports.qt.io/browse/QTBUG-53071 ), так как Риддел рукажоп и сам накладывать патчи не умеет.
В это раз русские хакеры решили зайти через зеркало в Польше, чтобы все таки подправить Qt, но Риддел не дремлет. :D
Я надеюсь в ЦРУ прочитают этот комментарий и добавят в свой отчет о кибератаках России на США, ну а там может и до Риддела дойдет, что надо все-таки научиться применять патчи, иначе русские хакеры не отстанут. :)
Ну а если серьезно, то я не знаю, что там у Вас с зависимостями. Я с ноября делаю aptitude full-upgrade и пока на текущий момент еще ни разу не было проблем с обновлениями пакетов.
А вы попробуйте установить kphotoalbum calibre qtcurve calligraflow.
Кот дело говорит. У меня неон умудрился даже интеловское видео сломать. Какого балмера он вообще дрова трогает?
Зато как орали когда в Минте мог быть обнаружен троян. И то - только с определенным DE и определенной битности.