Взломан сайт репозитория RPM Fusion (http://rpmfusion.org/). При попытке скачать пакет репозитория для любого дистрибутива из rpmfusion.org/Configuration (http://rpmfusion.org/Configuration) происходит переадресация на страницу rpmfusion.org/Insecure (http://rpmfusion.org/Insecure) со ссылкой на уведомление о проблеме (https://bugzilla.rpmfusion.org/show_bug.cgi?id=3313) и следующим сообщением взломщика:

<center><img src="http://www.opennet.me/opennews/pics_base/0_1406409510.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></center>

Администраторы сайта RPM Fusion до сих пор никак не отреагировали на инцидент. Суть первой проблемы в использовании на сайте wiki-движка, позволяющего любому новому пользователю отредактировать содержимое страниц, включая страницы с инструкциями и списками для загрузки. Вторая проблема заключается в ошибочной инструкции по верификации пакетов с использованием открытого ключа до начала установки, которая создаёт ложное чувство безопасности, но на деле ничего не доказывает.

Репозиторий RPMFusion был создан для работы с Fedora Linux, однако также содержит пакеты для RHEL и CentOS.  RPMFusion состоит из двух основных частей:

-  free  - свободное программное обеспечение (в понятии Fedora Licensing Guidelines), которое проект Fedora не может предоставить по различным причинам;
-  non-free  - те пакеты, которые невписываются в Fedora Licensing Guidelines;

URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=40282

• Взломан сайт репозитория RPM Fusion,Sluggard, 01:49 , 27-Июл-14
  • Взломан сайт репозитория RPM Fusion,Мяут, 02:21 , 27-Июл-14
    • Взломан сайт репозитория RPM Fusion,Аноним, 02:29 , 27-Июл-14
      • Взломан сайт репозитория RPM Fusion,Аноним, 07:54 , 27-Июл-14
      • Взломан сайт репозитория RPM Fusion,Аноним, 12:48 , 27-Июл-14
    • Взломан сайт репозитория RPM Fusion,Аноним, 04:08 , 27-Июл-14
      • Взломан сайт репозитория RPM Fusion,Мяут, 12:13 , 27-Июл-14
        • Взломан сайт репозитория RPM Fusion,Аноним, 17:41 , 27-Июл-14
  • Взломан сайт репозитория RPM Fusion,anonymous, 10:49 , 27-Июл-14
• Взломан сайт репозитория RPM Fusion,Аноним, 02:53 , 27-Июл-14
  • Взломан сайт репозитория RPM Fusion,Аноним, 03:13 , 27-Июл-14
    • Взломан сайт репозитория RPM Fusion,anonymous, 10:57 , 27-Июл-14
      • Взломан сайт репозитория RPM Fusion,Аноним, 15:15 , 27-Июл-14
      • Взломан сайт репозитория RPM Fusion,Аноним, 05:20 , 29-Июл-14
      • Взломан сайт репозитория RPM Fusion,IPRoute, 17:00 , 31-Июл-14
      • Взломан сайт репозитория RPM Fusion,IPRoute, 17:03 , 31-Июл-14
    • Взломан сайт репозитория RPM Fusion,Аноним, 12:33 , 27-Июл-14
      • Взломан сайт репозитория RPM Fusion,Аноним, 05:24 , 29-Июл-14
    • Взломан сайт репозитория RPM Fusion,Аноним, 12:22 , 27-Июл-14
      • Взломан сайт репозитория RPM Fusion,DFX, 15:51 , 27-Июл-14
      • Взломан сайт репозитория RPM Fusion,Аноним, 05:11 , 29-Июл-14
• Подмена страниц на сайте репозитория RPM Fusion,Артемон, 15:25 , 27-Июл-14
  • Подмена страниц на сайте репозитория RPM Fusion,Аноним, 16:07 , 27-Июл-14
    • Подмена страниц на сайте репозитория RPM Fusion,Аноним, 16:08 , 27-Июл-14
      • Подмена страниц на сайте репозитория RPM Fusion,robux, 18:55 , 27-Июл-14
    • Подмена страниц на сайте репозитория RPM Fusion,Stax, 23:43 , 27-Июл-14
      • Подмена страниц на сайте репозитория RPM Fusion,Аноним, 09:48 , 28-Июл-14
    • Подмена страниц на сайте репозитория RPM Fusion,анон, 12:19 , 28-Июл-14
    • Подмена страниц на сайте репозитория RPM Fusion,Аноним, 14:06 , 28-Июл-14
      • Подмена страниц на сайте репозитория RPM Fusion,Deluxe, 04:36 , 29-Июл-14
      • Подмена страниц на сайте репозитория RPM Fusion,Аноним, 05:18 , 29-Июл-14

На ЛОРе уже обсудили. Это была просто правка вики. Её уже откатили.

Ну если это считать взломом, это ж скока всего про википедию можно сказать!

Особенно про правки российских чиновников.

И правки конгресса США

и правки пятой колонны

Из википедии софт как правило не ставят. А вот если некто подпихнет левую репку как "якобы RPM Fusion" - это будет ОЛОЛО.

Ну ссылки на "оффициальные" сайты программных продуктов там таки есть. А учитывая, что софт на оффтопик ставится по принципу найти ссылку -> скачать -> установить, пространство для фишинга наличествует.

> Ну ссылки на "оффициальные" сайты программных продуктов там таки есть.

Это пока кто-нибудь особо креативный не регнул домен с парой других букв и не поправил вику? Хинт админам вики: некоторые страницы надо вообще-то лочить, оставив редактируемыми только для админов и доверяемых пользователей ;). Иначе хаксоры и вирмэйкеры могут получить пачку ботов в сетку за ваш счет.

> А учитывая, что софт на оффтопик

Так оффтопик не зря называется маздаем...

Был бы у них сайт -- это была бы всего лишь правка вики. А так -- это был официальный источник ссылок для скачивания. Какой уровень безопасности -- такой и уровень взлома.

Ничего я не взламывал, да я и не умею. Зарегистрировался на вики просто из интереса, охренел, когда увидел, что могу редактировать домашнюю страницу, ЗАГРУЗКИ!! А им, ведь, ВЕРИЛ, думал, что у них качать безопасно...

Им ведь спамили, удаляли со страниц содержимое, а они не догадались, что ссылки на загрузку могут подменить на вирус... скажут спасибо, что я настоящий вирус не подсунул...

Мои первые изменения держались несколько часов. Если бы и правда выложили вирус, кто-нибудь мог бы за это время заразиться.

Мой предыдущий багрепорт ингорировали несколько лет: https://bugzilla.rpmfusion.org/show_bug.cgi?id=2630

И ещё один: https://bugzilla.rpmfusion.org/show_bug.cgi?id=862

Наброс нормальный, кроме одного момента... с покупкой виндовса который. Вы когда-нибудь пробовали зарепортить MS баг? И как, много ваших багов починили? :)

В Виндовс нет багов, это вам скажет любая домохозяйка.

А что такое баг?

> В Виндовс нет багов, это вам скажет любая домохозяйка.

Что-то не заметил - регулярно зовут устранить какое-нибудь дepьмо с компом. Впрочем, в последнее время это сильно реже, ибо я вкатил большинству знакомых LTSную убунту.

Сам Windows усть большой баг..............

> В Виндовс нет багов, это вам скажет любая домохозяйка.

Сам  Виндовс  большой БАГ....

connect.microsoft.com

> connect.microsoft.com

Disconnect. Я вроде конкретный вопрос задал. Писать на деревню дедушке - это круто, но понятия MS о прозрачности процессов разработки софта, удобном взаимодействии и результативности всего этого - явно не стыкуются с моим пониманием того как это хотелось бы видеть. А еще я видел как огромный энтерпрайз 2 года с саппортом сношался. Индусики пускали пар, собирали диагностику, выкатывали фиксы. А толку было буй. Энтерпрайзятина так и не работала спустя 2 года. Качественные продукты и офигенный саппорт у этого вашего MS.

Из их списка рассылки rpmfusion-developers:

http://lists.rpmfusion.org/pipermail/rpmfusion-developers/20...

> If you haven't notice, rpmfusion.org have been defaced.

The wiki is open, so was not a security break.

Значит, они знали, но всё равно не защитили. Я бы их понял, если бы сайт только вчера запустили, но что бы за столько лет...

вовремя я с Федорки свалил... Fusion - это же где "патентованый" софт, ffmpeg и тп. лежат, не ?

> The wiki is open, so was not a security break.

Что за кидиoты там рулят всем этим fusion-ом?

Что за вендузятские привычки, собирать бинарники по всяким помойкам?

Вы, вероятно, плохо знакомы с RHEL-производными. Это не дубина с убунтой, там без сторонних репозиториев жить не можно.

Это не дубина с убунтой, там

Дубина, лол. Чертов словарь. Дебиан, конечно же.

> Дубина, лол. Чертов словарь. Дебиан, конечно же.

А я уж начал разучивать новый мем )

> Это не дубина с убунтой, там без сторонних репозиториев жить не можно.

И почему только почти любая инструкции об установке какой-либо интересной софтины (или просто актуальной версии стандартной) для убунты начинается с "подключите наш ppa"?..

*Ехидно* А мы про серверы или десктопы? Для серверов все необходимое обычно есть в стандартных репозиториях Дебиана. А вот на RHEL и для серверов приходится подключать EPEL/Fusion.

Сложный вопрос, что из этого правильнее. Обычно в Дебиане пакетов море, но тухлые и кривые, кроме основных. А в RHEL мало, но RH за них отвечает, если ему платить.

Как будто в убунту можно. Без PPA (которые те же помойки с потенциальной вируснёй) шагу не ступить.

> Как будто в убунту можно. Без PPA (которые те же помойки с
> потенциальной вируснёй) шагу не ступить.

4 года пользуюсь Ubuntu и Xubuntu на нескольких компах.
Ни одного постороннего PPA за всё время подключено не было.
Вирусов нет, проблем нет, недостатка в софте нет, хвататет содержимого репозиториев Canonical. Только Opera и Skype на домашнем ноуте ставились не оттуда, а из deb-пакетов с официальных сайтов.
Расскажите мне, как я не могу шагу ступить без левых PPA.
Или лучше сами убунтой попользуйтесь несколько лет и почувствуйте разницу.

> Как будто в убунту можно. Без PPA (которые те же помойки

PPA если и нужны то редко и от относительно ответственных товарищий. И там все по уму - каждый PPA это репа, с вполне себе ключами и левый ключ в этом процессе впарить будет несколько сложновато, т.к. там не вика, что попало не отредактируешь.