Серверы инфраструктуры Fedora и Red Hat были взломаны

    2008-08-23 09:04 | Автор: Oleg | Filed under: Новости

    Неделю назад в списке рассылки анонсов проекта Fedora был опубликован призыв не производить загрузку или обновление пакетов до специального объявления. Сегодня работа серверов была полностью восстановлена, а причины проблем раскрыты.

    Сообщается, что проблемы затронули не только Fedora, но и серверы Red Hat. Злоумышленники неизвестным способом получили контроль над машинами и смогли сформировать цифровые подписи для нескольких фиктивных пакетов с OpenSSH, ключами от RHEL 4 и RHEL 5. В репозиториях Fedora и Red Hat пакетов с нарушенной целостностью отмечено не было.

    Причина утечки пароля для подписывания пакетов так и не была установлена. Скрипт для выявления фиктивных openssh пакетов представлен на данной странице (риск получить фиктивное обновление openssh имеют клиенты Red Hat обновляющие систему не через Red Hat Network).

    В настоящее время работа всех серверов восстановлена, на взломанных машинах было полностью переустановлено программное обеспечение. Цифровые ключи для подписывания пакетов Fedora и Red Hat совершенно разные и не пересекаются в работе, поэтому утечка обоих ключей маловероятна. Тем не менее, принято решение об изменении всех ключей для формирования цифровой подписи пакетов.

    Разработчики проекта CentOS опубликовали информационное письмо, в котором уверили пользователей, что атака на Fedora и RedHat не затронула проект CentOS. Для проверки был проведен аудит системы сборки и подписывания пакетов, также были проанализированы исходные тексты двух последних версий пакета с openssh. Серверы инфраструктуры CentOS находятся за многоступенчатым межсетевым экраном и доступны для входа лишь для небольшого числа разработчикв с заранее оговоренного списка адресов.

    opennews

    1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
    Loading...

    Метки: , ,

    5 комментариев »


    комментариев 5

    1. Vasile:

      Сегодня появился ежедневный rawhide report, похоже скоро будут и обновления на зеркалах. Наверняка эта неприятность повлияет на срок выхода Fedora 10 Beta, и возможно финальной версии. Ждем новостей.

    2. FedoraMD.org Blog » Blog Archive » Fedora 10 задерживается на 3 недели:

      […] компромитация серверов Fedora серьёзно задержала процесс подготовки к выпуску […]

    3. FedoraMD.org Blog » Blog Archive » Обновление ключей Fedora:

      […] недавних событий, все мы задаём себе вопрос — когда же появятся […]

    4. ГИС:

      Ну так нашли то дыру или все еще нет?!

    5. Vasile:

      не стали искать дыры, а просто всё поставили с нуля. Параноики однако.

    Leave a comment

    *