On Mon, 17 Dec 2001 20:06:56 -0200
Antonio Augusto de Cintra Batista <[EMAIL PROTECTED]> wrote:
> Pessoal,
>
> Há uma vulnerabilidade de segurança grave na Debian, a qual já deveria
> estar solucionada há tempos. Qualquer um de nós, até mesmo os
> principais mantenedores, podem estar usando um pacote adulterado. A
> situação é grave, merece uma força-tarefa para solucionar.
Olá Antônio =),
a preocupação é válida, mas isso é um assunto que já foi endereçado mas
só pode ser tratado pós-woody (se você acompanhou as discussões de perto
já sabe disso)
O Debian já tem o esquema de assinatura de pacotes usando o anel de
confiança do Debian, que é muito coerente e forte, visto que todo
desenvolvedor tem a assinatura de pelo menos 1 outro desenvolvedor.
Quando essa solução for implantada (no woody+1) deverá servir para
arrebentar essa "falha de segurança" que se encontra em qualquer SO
do mundo e que é muito difícil de acontecer, porque você teria de ter
um computador no meio da rota do seu computador e do servidor do Debian
que estivesse fazendo proxy transparente e reescrevendo URLs, uma coisa
um tanto rara, eu diria, um hacker instalar um roteador na internet para
isso... (a menos que fosse o FBI, como diz a thread original)
> Proposta: poderíamos trabalhar em conjunto numa solução, testar
> entre nós, e exportar a sugestão para debian-security. Podemos
> não resolver todos os problemas, mas acho que é hora de uma
> força-tarefa.
bom, eu sou a favor de um trabalho desse tipo, mas eu acho melhor que
se junte o pessoal na debian-security para discutir a implementação
das assinaturas nos pacotes usando o anel de confiança do Debian,
analizando e melhorando a proposta do Ben Colins
meus 2 centavos de real =)
[]s!
--
Gustavo Noronha Silva - kov <http://www.metainfo.org/kov>
*---------* -+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+-+
| .''`. | Debian GNU/Linux: <http://www.debian.org> |
| : :' : + Debian BR.......: <http://debian-br.cipsga.org.br>+
| `. `'` + Q: "Why did the chicken cross the road?" +
| `- | A: "Upstream's decision." -- hmh |
*---------* -+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+-+
