On Mon, 17 Dec 2001, Antonio Augusto de Cintra Batista wrote: > Há uma vulnerabilidade de segurança grave na Debian, a qual já deveria > estar solucionada há tempos. Qualquer um de nós, até mesmo os > principais mantenedores, podem estar usando um pacote adulterado. A
"Mantenedores" (eu nunca gostei dessa tradução, soa mal :-P) podem baixar as debs direto de ftp-master.debian.org usando ssh. E uma deb só entra em ftp-master.debian.org através de uma MD5-sum assinada por alguém no keyring oficial do Debian. O problema mais grave realmente é para os usuários. A única solução imediata é assinar a lista debian-changes, e verificar a assinatura dos .changes uploadeados, daí a MD5-sum dos pacotes, e só instalar eles se tudo bater. Os updates de segurança também possuem MD5-sum assinadas. Os CDs originais só contém pacotes com MD5 assinadas (pelo menos para Woody). Os mirrors primários têm seu conteúdo completamente corrigido (sim, inclusive quaisquer pacotes trojan serão sobrescritos com os originais) diariamente, pois a sincronisação é feita via rsync apartir de ftp-master. > situação é grave, merece uma força-tarefa para solucionar. Não irá ser feito para Woody, e tudo exceto as coisas perigosas (ou seja, fuçar em da-katie) já está pronto. Deve acontecer bem rapidinho assim que woody for lançada, e movermos os arquivos com criptografia de non-us/main para main. > Mas próprio pacote debian-keyring pode estar adulterado, e deixar para > o usuário checar todas aquelas chaves uma-por-uma *não* é solução > mesmo! Leia a documentação. O keyring está disponível via rsync anônimo de keyring.debian.org, e você pode mandar o gnupg dar update das chaves apartir dele, e de um monte de keyservers. Haja problema pruma proxy "adulteradora" resolver. > A meu ver, uma solução razoável passaria pela uso da Web of Trusting > das chaves (tipo assim, a sua chave é assinada por estes fulanos em A solução definitiva, você quer dizer... > garantir a autenticidade de quem gerou a assinatura. Acabou de tocar na razão pela qual a infra-estrutura para assinar os pacotes é meio complicada. Quem quiser saber mais, procure nos arquivos da debian-devel em lists.debian.org. > Proposta: poderíamos trabalhar em conjunto numa solução, testar > entre nós, e exportar a sugestão para debian-security. Podemos > não resolver todos os problemas, mas acho que é hora de uma > força-tarefa. Não perca tempo com isso. Já foi feito, e foi feito direito. Pegue o gpgme, crie sistemas decentes de manejo de assinaturas em massa, pegue o código de da-katie em cvs.debian.org, e soquete um no outro. Aí você vai ter dado uma tremenda ajuda :P -- "One disk to rule them all, One disk to find them. One disk to bring them all and in the darkness grind them. In the Land of Redmond where the shadows lie." -- The Silicon Valley Tarot Henrique Holschuh
