URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 82997
[ Назад ]

Исходное сообщение
"В пакете для организации групповой работы Horde обнаружен бэ..."

Отправлено opennews , 14-Фев-12 18:45 
Разработчики проекта Horde (http://www.horde.org/), в рамках которого развивается серия свободных продуктов для организации совместной работы корпоративных пользователей, сообщили (http://permalink.gmane.org/gmane.comp.horde.announce/708) о выявлении факта внедрения бэкора в некоторые из установочных пакетов. Подробности совершения атаки не приводятся, известно лишь то, что пакеты были модифицированы в результате взлома первичного FTP-сервера проекта. Интегрированный бэкдор позволяет удалённому злоумышленнику выполнить произвольный PHP-код на сервере.


Сообщается, что бэкдор был внедрён только в пакеты с Horde 3.3.12, Groupware 1.2.10  и Horde Groupware Webmail Edition 1.2.10. Модифицированные злоумышленниками версии распространялись с начала ноября по 7 февраля. Пользователям указанных версий рекомендуется удостовериться, что их системы не содержат вредоносного кода.  Для этого достаточно осуществить поиск в исходных текстах по маске "$m[1]($m[2])".


Производители Linux-дистриб...

URL: http://permalink.gmane.org/gmane.comp.horde.announce/708
Новость: http://www.opennet.me/opennews/art.shtml?num=33087


Содержание

Сообщения в этом обсуждении
"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Клыкастый , 14-Фев-12 18:45 
пааанеслась. год назад ещё писал, что при усилении позиций опенсорса собсвенно эксплуатация уязвимостей будет применяться реже, а вот атаки на "первоисточник" - гораздо чаще. там - ахиллесова пята. разработчикам - терпения и внимательности.

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Аноним , 14-Фев-12 18:47 
Ну нет же проблем если дистрибостроители верифицируют сорцы используя ЭЦП.

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено rusty_angel , 14-Фев-12 19:01 
А откуда дистростроители берут исходники? С уже скомпрометированных серверов проектов. Вот если все будут вместе с архивами выкладывать контрольные суммы…

"В пакете для организации групповой работы Horde..."
Отправлено arisu , 14-Фев-12 19:05 
> А откуда дистростроители берут исходники?

из окаменелостей. ну что стоит девелоперам перестать раздавать окаменелости и вместо этого просто публиковать sha релизного коммита?


"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Lain_13 , 14-Фев-12 19:20 
Git не был скомпрометирован. Сломали только FTP.

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Аноним , 14-Фев-12 19:31 
Во люди. Пишут же про ЭЦП. Контрольную сумму легко подделать, ЭЦП - нет (если рядом приватные ключи не раскидывать). И ничего страшного нет в том чтобы публиковать релиз. Да хоть патчи (с ЭЦП) публикуйте в таком случае.

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено klalafuda , 14-Фев-12 21:35 
> Во люди. Пишут же про ЭЦП. Контрольную сумму легко подделать, ЭЦП - нет (если рядом приватные ключи не раскидывать). И ничего страшного нет в том чтобы публиковать релиз. Да хоть патчи (с ЭЦП) публикуйте в таком случае.

А если приватный ключ лежит рядом с password.txt из которого по всей видимости и увели аки на FTP?


"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено rain87 , 15-Фев-12 12:02 
то ссзб, очевидно

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Клыкастый , 15-Фев-12 20:21 
> то ссзб, очевидно

от этого не легче


"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено FFASM , 14-Фев-12 21:16 
Это уже давно и делается всеми, кто пользуется git.

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Аноним , 15-Фев-12 15:17 
А что мешает подменить запись о контрольной сумме на странице проекта?

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Аноним , 15-Фев-12 15:45 
Речь не о контрольной сумме, а о подписывании кода личной подписью разработчика, и последующей верификации авторами дистрибутивов.

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Аноним , 15-Фев-12 15:47 
^ пардон, не посмотрел кому отвечаю.

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Клыкастый , 15-Фев-12 16:06 
Я предлагаю посмотреть в общем и целом. Проблема стоит  так, что опенсорс более уязвим именно на стадии написания и распространения исходников. И контрольные суммы - это даже не тень решения проблемы в целом.
- в проект надо набирать людей. надо как-то проверять их самих и требования к рабочему месту. это раз.
- разработчик должен иметь подпись.
- проект должен уметь работать с подписями и проверять валидность кода.
- должна быть секурити тим.
- тот, кто код берёт, должен иметь возможность проверить его аутентичность.

в общем и целом это уже совсем не пионэрство "пишу для удовольствия", это очень серьёзно. и требует слаженного взаимодействия между всеми участниками. но этим заниматься не хочется, хочется же побегать босиком за Столлманом и покидаться какашками в BSD.



"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Анон , 16-Фев-12 14:21 
> в общем и целом это уже совсем не пионэрство "пишу для удовольствия", это очень серьёзно. и требует слаженного взаимодействия между всеми участниками. но этим заниматься не хочется, хочется же побегать босиком за Столлманом и покидаться какашками в BSD.

Вообще-то, базарная разработка - это Торвальдс как популяризатор и Реймонд как теоретик. Столлман же описывает модель распространения, а не разработки.


"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Клыкастый , 16-Фев-12 22:47 
> Вообще-то, базарная разработка - это Торвальдс как популяризатор и Реймонд как теоретик.

тем не менее именно линукс паровоз опенсорса.

> Столлман же описывает модель распространения, а не разработки.

описал он её уже давно, и за это ему спасибо гигантское. сейчас он описывает, как все должны жить. это не модель разработки, это проповедь.


"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Аноним , 15-Фев-12 15:46 
В таком случае все есть вероятность заражения исходников на машине разработчика, до подписывания.

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Аноним , 14-Фев-12 18:46 
Еще один аргумент за использование цифровой подписи.

"В пакете для организации групповой работы Horde..."
Отправлено arisu , 14-Фев-12 19:04 
поэтому порочную практику «публикования релизов» давно пора отменить. вместо этого указывать на сайте команду для гита, которая вытащит именно то, что девелоперы назвали релизом.

"В пакете для организации групповой работы Horde..."
Отправлено skJ , 14-Фев-12 19:29 
а всем желающим попользоватся активно ставить себе бегом клиента для коннекта к очередной _cvs_system_, ню ню

"В пакете для организации групповой работы Horde..."
Отправлено arisu , 14-Фев-12 19:51 
> а всем желающим попользоватся активно ставить себе бегом клиента для коннекта к
> очередной _cvs_system_, ню ню

скажи мне, милый друг: сколько этих самых желающих таки тащат тарболы с офсайта, а не берут из репозиториев своих дистрибутивов? и если уж они таки тащат тарболы, то для них не составит труда взять не тарбол, а срез гита.

но ты вряд ли об этом подумал, у тебя типичная психология диванного мыслителя: «я-то, конечно, понимаю, как это и что, но вот люди — люди, увы, не поймут…»


"В пакете для организации групповой работы Horde..."
Отправлено Клыкастый , 15-Фев-12 16:15 
> а всем желающим попользоватся активно ставить себе бегом клиента для коннекта

apt-get отказывается ставить такие страшные вещи?

> к очередной _cvs_system_, ню ню

cvs, svn, git, mercurial. нет, я понимаю, что для рая на земле надо только apt-get, но у нас, обитателей мрачных лабиринтов соурс-бейзед, оно уже стоит. да. и я больше скажу. не будучи программистом как таковым приходится знать все четыре. хотя бы на уровне терминологии и общих принципов. и ты знаешь, ещё никто не умер. хотя я понимаю, проблема не в apt-get install mercurial, проблема потом разбираться. может случиться переполнение памяти ;)


"В пакете для организации групповой работы Horde..."
Отправлено Crazy Alex , 14-Фев-12 19:35 
А в чем принципиальная разница? Ну поломают сервер с репозиторием - результат тот же. Ну ладно, при взломе гит почует, что контрольные суммы изменились, а остальные версионники? Навскидку еще штук пять вспомнить можно (svn, mercurial, bazaar, fossil, darcs) - из них хоть половина целостность проверяет?

"В пакете для организации групповой работы Horde..."
Отправлено анон , 14-Фев-12 19:39 
пользуйтесь гитом - и будет безопасно :)
а также гораздо более удобно и функционально (имхо)

"В пакете для организации групповой работы Horde..."
Отправлено arisu , 14-Фев-12 19:55 
(задумчиво) значит, надо переходить на те, которые проверяют. или допиливать проверки в любимые. то, что где-то фичи нет — не причина сидеть и плакать, это повод допилить фичу туда, где её нет. ну право, пора уже что-то с окаменелыми тарболами делать. ну, то есть, не «что-то», а «забыть о них в большинстве случаев».

p.s. централизованые системы я вообще тут не рассматриваю: это такая же окаменелая фигня, как и тарболы.


"В пакете для организации групповой работы Horde..."
Отправлено Клыкастый , 15-Фев-12 20:24 
> (задумчиво) значит, надо переходить на те, которые проверяют. или допиливать проверки в
> любимые. то, что где-то фичи нет — не причина сидеть и
> плакать, это повод допилить фичу туда, где её нет.

истинно так. но легко свести лошадь к воде, но невозможно заставить её пить. фичи напишут, ещё бы на них не забивали.


"В пакете для организации групповой работы Horde..."
Отправлено _Vitaly_ , 14-Фев-12 20:12 
Упс, не туда ответ воткнулся. Это вам http://www.opennet.me/openforum/vsluhforumID3/82997.html#15

"В пакете для организации групповой работы Horde..."
Отправлено Аноним , 14-Фев-12 20:32 
> А в чем принципиальная разница? Ну поломают сервер с репозиторием - результат тот же.

Ага, иди разломай гит так чтобы потом 100500 разработчиков не заметило этого. Удачи.


"В пакете для организации групповой работы Horde..."
Отправлено Crazy Alex , 14-Фев-12 21:38 
Да довольно легко на самом деле - если больше одного человека имеет право на пуш лишний коммит с большой вероятностью даже замечен особо не будет. Ну обновилось что-то. Для достаточно большого проекта - пройдёт со свистом.

"В пакете для организации групповой работы Horde..."
Отправлено Michael Shigorin , 14-Фев-12 23:02 
> если больше одного человека имеет право на пуш

...то это уже SVN какой-то.


"В пакете для организации групповой работы Horde..."
Отправлено Аноним , 14-Фев-12 22:56 
> поэтому порочную практику «публикования релизов» давно пора отменить. вместо
> этого указывать на сайте команду для гита, которая вытащит именно то,
> что девелоперы назвали релизом.

Сравним:
Вы предлагаете скачивать из $VCSNAME. При этом это может быть git, svn, cvs, ...
Нужно всегда знать, как проверять "релиз" в очередной VCS. Хорошо, если это всегда git.
Тарболл можно подписать. Чем этот вариант вам не понравился? Обычно подписывают с помощью gpg. Способ проверки всегда одинаков, будь это хоть бинарник. Вы предлагаете мне заочно стать разработчиком, хотя я ничего и не разрабатываю обычно?


"В пакете для организации групповой работы Horde..."
Отправлено arisu , 14-Фев-12 23:05 
(пожимает плечами) о боги, человек, ну что же вы такие линейные-то? вроде бы и скрипты давно придумали — а толку ноль… для этих ваших разных scs и билд-контролей можно скрипт написать. один раз. положить к себе в репозиторий. и больше не мучаться. попутно получив возможность проверять не только тарбол, который авторы выложить соизволили.

дала природа мозг, а зачем — пояснить забыла…


"В пакете для организации групповой работы Horde..."
Отправлено Аноним , 15-Фев-12 00:02 
> (пожимает плечами) о боги, человек, ну что же вы такие линейные-то? вроде
> бы и скрипты давно придумали — а толку ноль… для этих
> ваших разных scs и билд-контролей можно скрипт написать. один раз. положить
> к себе в репозиторий. и больше не мучаться. попутно получив возможность
> проверять не только тарбол, который авторы выложить соизволили.
> дала природа мозг, а зачем — пояснить забыла…

Я совершенно не понял вашего возмущения. Наверное, мы с разными окружениями работаем.


"В пакете для организации групповой работы Horde..."
Отправлено Клыкастый , 15-Фев-12 20:32 
>> поэтому порочную практику «публикования релизов» давно пора отменить. вместо
>> этого указывать на сайте команду для гита, которая вытащит именно то,
>> что девелоперы назвали релизом.
> Сравним:
> Вы предлагаете скачивать из $VCSNAME. При этом это может быть git, svn,
> cvs, ...
> Нужно всегда знать, как проверять "релиз" в очередной VCS. Хорошо, если это
> всегда git.

в упор не вижу проблемы. md5/sha в портах/портежах проверяются, никто не парится. так же можно и подпись проверять.


> Вы предлагаете мне заочно стать разработчиком, хотя я ничего и не разрабатываю обычно?

исходники вам зачем тогда? если нужны - нет же проблем разобраться?


"В пакете для организации групповой работы Horde..."
Отправлено Michael Shigorin , 14-Фев-12 23:00 
> поэтому порочную практику «публикования релизов» давно пора отменить.

Да ну, тарболы порой лучше полной истории.

> вместо этого указывать на сайте команду для гита, которая вытащит именно то,
> что девелоперы назвали релизом.

Бишь аннотированный и (крайне желательно) подписанный тег.


"В пакете для организации групповой работы Horde..."
Отправлено arisu , 14-Фев-12 23:08 
>> поэтому порочную практику «публикования релизов» давно пора отменить.
> Да ну, тарболы порой лучше полной истории.

по-моему, у всех нормальных scs есть возможность не качать полную историю. зато — в отличие от тарбола — можно взять и проверить любой интересный срез, а не только то, что на сайте положили.

>> вместо этого указывать на сайте команду для гита, которая вытащит именно то,
>> что девелоперы назвали релизом.
> Бишь аннотированный и (крайне желательно) подписанный тег.

ну да. это уже частности организации конкретного процесса.

впрочем, «релизы» как таковые — тоже пережитки прошлого. зачем? «коммит xyz — стабильный коммит». чего ради релизы выпускать, номерами заморачиваться?


"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено _Vitaly_ , 14-Фев-12 20:11 
google "%myvcs% sign commit"

git/mercurial/bazaar точно умеют коммиты подписывать. И на сервисах типа гитхаба генерация архивов интегрирована. C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают.


"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено klalafuda , 14-Фев-12 22:45 
> C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают.

Факт!

ftp://ftp.mozilla.org/pub/firefox/releases/latest-10.0/source/
ftp://ftp.kde.org/pub/kde/stable/latest/src/
ftp://ftp.gnome.org/pub/gnome/sources/
ftp://ftp.gnu.org/pub/gnu/
.............


"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Аноним , 14-Фев-12 22:58 
>> C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают.
> Факт!
> ftp://ftp.mozilla.org/pub/firefox/releases/latest-10.0/source/
> ftp://ftp.kde.org/pub/kde/stable/latest/src/
> ftp://ftp.gnome.org/pub/gnome/sources/
> ftp://ftp.gnu.org/pub/gnu/
> .............

У большинства есть http-зеркала, откуда качать зачастую намного удобнее, чем выкачивать с ftp, обычно без многопоточной загрузки (ftp ограничивают это, уже за это его пора бы отправить на свалку).


"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Аноним , 14-Фев-12 22:59 
>ftp сервера обычно ограничивают это,

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Аноним , 14-Фев-12 21:24 
7 февраля какого года?

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Аноним , 15-Фев-12 08:23 
Почему на kernel.org все исходники имеют свои цифровые подписи, а тут никто не позаботился? Чеще делать,чаще проверять - вот и все !)

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Аноним , 15-Фев-12 13:01 
Почему ты считаешь, что цифровая подпись хоть что-то гарантирует?

В концепции PKI важна не цифровая подпись сама по себе, а то, кто ее ставит. И доверяешь ли ты тому, кто подписывает. Причем лично я считаю, что понятия "доверие" и "безопасность" ортогональны. Нет доверия. Есть знание.


"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено Michael Shigorin , 15-Фев-12 13:37 
> Нет доверия.
> Есть знание.

Сколько будет два плюс два?


"В пакете для организации групповой работы Horde..."
Отправлено arisu , 15-Фев-12 14:26 
>> Нет доверия.
>> Есть знание.
> Сколько будет два плюс два?

например, 11.


"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено фыва , 15-Фев-12 15:34 
2+2=22

"В пакете для организации групповой работы Horde обнаружен бэ..."
Отправлено R , 15-Фев-12 20:36 
>> Нет доверия.
>> Есть знание.
> Сколько будет два плюс два?

А сколько Вам надо? (С) ;)