Серверы инфраструктуры Fedora и Red Hat были взломаны

2008-08-23 09:04 | Автор: Oleg | Filed under: Новости

Неделю назад в списке рассылки анонсов проекта Fedora был опубликован призыв не производить загрузку или обновление пакетов до специального объявления. Сегодня работа серверов была полностью восстановлена, а причины проблем раскрыты.

Сообщается, что проблемы затронули не только Fedora, но и серверы Red Hat. Злоумышленники неизвестным способом получили контроль над машинами и смогли сформировать цифровые подписи для нескольких фиктивных пакетов с OpenSSH, ключами от RHEL 4 и RHEL 5. В репозиториях Fedora и Red Hat пакетов с нарушенной целостностью отмечено не было.

Причина утечки пароля для подписывания пакетов так и не была установлена. Скрипт для выявления фиктивных openssh пакетов представлен на данной странице (риск получить фиктивное обновление openssh имеют клиенты Red Hat обновляющие систему не через Red Hat Network).

В настоящее время работа всех серверов восстановлена, на взломанных машинах было полностью переустановлено программное обеспечение. Цифровые ключи для подписывания пакетов Fedora и Red Hat совершенно разные и не пересекаются в работе, поэтому утечка обоих ключей маловероятна. Тем не менее, принято решение об изменении всех ключей для формирования цифровой подписи пакетов.

Разработчики проекта CentOS опубликовали информационное письмо, в котором уверили пользователей, что атака на Fedora и RedHat не затронула проект CentOS. Для проверки был проведен аудит системы сборки и подписывания пакетов, также были проанализированы исходные тексты двух последних версий пакета с openssh. Серверы инфраструктуры CentOS находятся за многоступенчатым межсетевым экраном и доступны для входа лишь для небольшого числа разработчикв с заранее оговоренного списка адресов.

opennews

Метки: centos, fedora, red hat

5 комментариев »

комментариев 5

1. Vasile:
   ������� 28, 2008 9:38

   Сегодня появился ежедневный rawhide report, похоже скоро будут и обновления на зеркалах. Наверняка эта неприятность повлияет на срок выхода Fedora 10 Beta, и возможно финальной версии. Ждем новостей.

2. FedoraMD.org Blog » Blog Archive » Fedora 10 задерживается на 3 недели:
   ������� 29, 2008 9:50

   […] компромитация серверов Fedora серьёзно задержала процесс подготовки к выпуску […]

3. FedoraMD.org Blog » Blog Archive » Обновление ключей Fedora:
   �������� 5, 2008 10:09

   […] недавних событий, все мы задаём себе вопрос — когда же появятся […]

4. ГИС:
   �������� 9, 2008 21:02

   Ну так нашли то дыру или все еще нет?!

5. Vasile:
   �������� 9, 2008 21:54

   не стали искать дыры, а просто всё поставили с нуля. Параноики однако.

Leave a comment

Имя

Mail (will not be published)

Сайт

Δ

CAPTCHA Code *