Russian Fedora

cообщество русскоязычных участников
международного проекта Fedora

Закрыли 15-летний баг!

Это архивная статья

В далеком 1999 году Aleksey Nogin обратил внимание на печальную ситуацию - несмотря на то, что RPM умеет проверять подписи пакетов, при первой установке Anaconda не проверяет их. Это 15 лет подряд теоретически позволяло проворачивать интересный трюк, который, надо признать, так никто и не провернул - записаться быть зеркалом проекта, но подменить один или несколько пакетов, внедрив в них вредоносный код. На уже развернутых системах такое будет сразу замечено на этапе установки или обновления, а вот на системах, которые только будут устанавливаться все пройдет как по маслу. Получается, что в принципе нельзя гарантировать целостность системы при установке по сети, если в списке источников пакетов будет хоть один неконтролируемый хост.

В эпоху SecureBoot и регулярных скандалов со спецслужбами такое терпеть больше было нельзя, и проблему наконец-то исправили.

image0

Комментарии