LINUX.ORG.RU
НовостиБезопасность

Команда Devuan просрочила основной ключ подписи репозиториев

 , ,


3

4

Ключ, которым подписываются все системные обновления, выпущенный в 2017 году, был действителен до 2 сентября 2022 года. Сегодня пользователи дистрибутива столкнулись с невозможностью штатного обновления системы через apt в связи с отсутствием действительного ключа. Разработчики дистрибутива, судя по всему, узнали о просрочке из жалобы на форуме и сгенерировали новый пакет devuan-keyring, который предлагают скачать через http (поскольку apt неработоспособен) и без каких-либо проверок сразу установить. 

wget http://deb.devuan.org/devuan/pool/main/d/devuan-keyring/devuan-keyring_2022.09.04_all.deb
dpkg -i devuan-keyring_2022.09.04_all.deb
Впрочем, какую-никакую проверку провести всё-таки можно, на странице пакета (по https) указан sha256-хэш deb-файла: 96c4a206e8dfdc21138ec619687ef9acf36e1524dd39190c040164f37cc3468d, который можно сравнить так: 
sha256sum devuan-keyring_2022.09.04_all.deb
перед тем как запускать dpkg -i.

Старый ключ: 

/etc/apt/trusted.gpg.d/devuan-keyring-2017-archive.gpg
------------------------------------------------------
pub   rsa4096 2017-09-04 [SC] [просрочен с: 2022-09-03]
      E032 601B 7CA1 0BC3 EA53  FA81 BB23 C00C 61FC 752C
uid         [  просрочен ] Devuan Repository (Amprolla3 on Nemesis) <repository@devuan.org>
Новый ключ: 
/etc/apt/trusted.gpg.d/devuan-keyring-2022-archive.gpg
------------------------------------------------------
pub   rsa4096 2017-09-04 [SC] [   годен до: 2023-09-03]
      E032 601B 7CA1 0BC3 EA53  FA81 BB23 C00C 61FC 752C
uid         [ неизвестно ] Devuan Repository (Amprolla3 on Nemesis) <repository@devuan.org>
sub   rsa4096 2017-09-04 [E] [   годен до: 2023-09-03]

Несмотря на то, что, по-видимому, новый ключ легитимен, стоит отметить, что цепочка безопасного доверия ключей прервана, и пользователи вынуждены, при обновлении пакета, полагаться на https-сертификат сайта с информацией о пакетах, который может выпустить (поддельный) любая из огромного количества организаций, в том числе сомнительных, в доверенном списке браузера.

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 3)

1 2 3
Ответ на: комментарий от BydymTydym

Там тоже могут прошляпить, да везде могут. Время протухания ключей/сертификатов это почти уязвимость на отказ от обслуживания.

LINUX-ORG-RU ★★★★★
()

Сначала бомжара, теперь диван, кто следующий?

papin-aziat ★★★★★
()
Последнее исправление: papin-aziat (всего исправлений: 1)

Вот вам и оппозиция шапки в пингвине. Ярчайшая демонстрация!

ipkirill22x
()
Ответ на: комментарий от LINUX-ORG-RU

Ну не знаю, не знаю. Я когда серты генерю, то не мелочусь - ставлю сразу 2099 год имея ввиду что до 125 я точно не дотяну

BydymTydym
()
Ответ на: комментарий от LINUX-ORG-RU

Или у них вообще нет автоматики для этого. Вот руками - это да, это труъ, это старая школа. Прямо как на ru-board, где из-за нежелания ставить в систему утилиту для перевыпуска сертификата от LE, он каждые полгода протухает и через пару дней его руками меняют на свежий.

Зачем так жить, я не знаю.

MozillaFirefox ★★★★★
()
Последнее исправление: MozillaFirefox (всего исправлений: 2)

Жалкая попытка косплеить манжару.

chenbr0
()

полагаться на https-сертификат сайта с информацией о пакетах, который может выпустить (поддельный) любая из огромного количества организаций, в том числе сомнительных

SHA-256 на ЛОРе, куда официальней

I-Love-Microsoft ★★★★★
()

Devuan 🤝 Manjaro

Кто-нибудь может объяснить, зачем нужны все эти пляски с ключами и подписями пакетов, если разработчики на них болт клали?

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)

тока не говорите, что кто-то из здесь присутствующих знает как проверить гпг ключ или смотрит на ссл серты

bernd ★★★★★
()
Ответ на: комментарий от BydymTydym

Шерето! Какое счастье, что у меня везде Дебиан. Жаль только что в нем везде systemd…

А я считаю это плюсом. После перехода на системд я забыл, когда в последний раз туда совался. Это как пересесть с жигулей на иномарку. Оно просто едет.

utanho ★★★★★
()
Ответ на: комментарий от utanho

Ага, если раньше можно было пробовать свои сервисы через /etc/init.d создавать, то теперь только через /etc/rc.local. Впрочем, в фрибсд /usr/local/etc/rc.d ещё проще было всегда.

firkax ★★★★★
() автор топика

Второй их громкий косяк, в прошлый раз их сайт взломали, теперь же они забыли про ключ. Впрочем, я лично всё равно его практически не обновляю, установил рядом с гентой только ради зондо-геншина и пары зондо-дрочилен из стима, чтобы раз в полгода в них играть. Но осадочек всё равно остался.

nemixer
()
Последнее исправление: nemixer (всего исправлений: 2)

Что и требовалось доказать.

Psilocybe ★★★★
()
Ответ на: комментарий от MozillaFirefox

Ручная замена заставляет думать, а от использования утилиты для перевыпуска сертификата администраторы тупеют.

Mischutka ★★★★★
()

А-ха-ха-ха… Пххх… Ха-ха-ха-ха!!!!

zabbal ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Время протухания ключей/сертификатов это почти уязвимость на отказ от обслуживания.

Орнул! После истории со «взломом» инфраструктуры баттхёртиана я не удивлюсь если они штаны снять забудут прежде чем опростаться. Тоже «уязвимость на отказ от обслуживания» практически :-D :-D :-D

zabbal ★★★★★
()
Ответ на: комментарий от firkax

https://www.opennet.ru/opennews/art.shtml?num=50434

Дополнение 2: Шутка возымела обратный эффект и пользователи Devuan теперь обсуждают вариант, что после возвращения контроля за серверами под видом шутки разработчики пытаются скрыть информацию о реальном взломе. Кроме того, высказывается недовольство, что пользователям пришлось попусту потратить своё время на откат последних обновлений (в том числе с устранением уязвимостей), которые потенциально могли быть скомпрометированы.

Конечно, есть вероятность, что это всё-таки шутка была, но я лично склоняюсь к версии с реальным взломом.

nemixer
()
Последнее исправление: nemixer (всего исправлений: 2)
Ответ на: комментарий от LINUX-ORG-RU

Арч уже давно не система для школия. Нынче этот почётный титул перешёл к Кали

SpaceRanger ★★
()

У Заббала и компании сегодня праздник, да. Пущай радуются. Такого рода радость в первую очередь хорошо характеризует их самих.

Вот только представим себе, что что-то подобное случилось с ванильным дебианом. Или с Федорой. В этом случае, скорее всего, главными злорадствующими будут не любители девуана, а поклонники винды и макоси. «Шерето», «линупс готов для десктопа, ахаха» и подобное.

Я 10 лет пользовался ванильным дебианом разных версий на десктопе (в том числе с systemd, да). Да и сейчас он на паре виртуалок крутится. Но у меня вот подобные новости вызывают исключительно сочувствие. Я считаю, что альтернативы дебиану — это хорошо, в том числе и «идейно близкие».

Диван нужен :)

hobbit ★★★★★
()
Последнее исправление: hobbit (всего исправлений: 1)

Опять ветераны хрюникс облажались. Кто бы мог подумать. А устранение то проблемы какое изящное. Ммм...

Polugnom ★★★★★
()
Ответ на: комментарий от hobbit

У Заббала и компании сегодня праздник, да. Пущай радуются. Такого рода радость в первую очередь хорошо характеризует их самих.

Это ни в коем случае не радостное событие. Это трагедия, которая лишний раз доказывает, что вменяемой альтернативы шапке или космонавту, а уж тем более яблоку или некрософту нет совсем. И от этого - страшно.

Вот только представим себе, что что-то подобное случилось с ванильным дебианом. Или с Федорой. В этом случае, скорее всего, главными злорадствующими будут не любители девуана, а поклонники винды и макоси. «Шерето», «линупс готов для десктопа, ахаха» и подобное.

И даже в этом случае это будет справедливо, поскольку опять-таки окажется, что и шапка с космонавтом - никакая не альтернатива яблоку или некрософту. Что тоже весьма трагично и страшно.

Я считаю, что альтернативы дебиану — это хорошо, в том числе и «идейно близкие».

Я считаю, что тот, кто против существующего порядка, должен делом это доказать. А диван к сожалению, это не доказал, и его хватило только на бла-бла, Systemd плохой, Microsoft - зло и поделочку уровня школьного урока на информатике.

Диван в таком виде не нужен :)

ipkirill22x
()
Последнее исправление: ipkirill22x (всего исправлений: 1)
Ответ на: комментарий от nemixer

Еще напомню была история, когда в apt обнаружили уязвимость, а ветераны хрюникс соизволили собрать новый установочный образ с исправленной версией apt только через 9 месяцев.

Polugnom ★★★★★
()

Вот блин, опять придётся диван двигать.

Dr64h ★★
()
Ответ на: комментарий от hobbit

Не знаю, кто такой Заббал. Но в Debian, в отличие от Devuan, много тестировщиков и разработчиков для устранения проблем. Поэтому проблемы менее вероятны.Devuan не альтернатива Debian, так как предназначен не для работы, а для выражения ненависти к systemd (что не является работой).

Partisan ★★★★
()
Ответ на: комментарий от Partisan

Devuan не альтернатива Debian, так как предназначен не для работы, а для выражения ненависти к systemd (что не является работой).

Ты сам-то в свою чушь веришь? Две или три мажорные версии (зависит от того, считать ли ASCII мажором) — это всё «для выражения ненависти»?

Devuan предназначен для предоставления возможности использовать альтернативные системы инициализации с минимальными трудозатратами. А не то, что вы там себе напридумывали.

hobbit ★★★★★
()
Ответ на: комментарий от hobbit

Devuan предназначен для предоставления возможности использовать альтернативные системы инициализации с минимальными трудозатратами. А не то, что вы там себе напридумывали.

Все это разбивается об эпопею с выпиливанием libsystemd0 из системы. Альтернативу предоставляет mxlinux какой-нибудь, где одно место разработчиков не разрывает на части от одного слова Systemd в названии пакета.

Polugnom ★★★★★
()

Как будто это имеет какое-то значение. Что у Дебиан, что у Девуан такие старые пакеты, что само слово «обновление» теряет первоначальный смысл. Обновиться там можно только на что-то очень старое.

thegoldone
()
Ответ на: комментарий от thegoldone

Обновиться можно на новые секурити-фиксы, например. Не путай старую версию с поддержкой обновлений безопасности и заброшенную версию. А если ты даже не хочешь обновляться - просто установка пакетов (понадобилась прога которой раньше не стояло) так же затронута этим всем (я как раз и попытался кое-что установить вчера и узнал об этом всём оттуда).

firkax ★★★★★
() автор топика
Ответ на: комментарий от token_polyak

«пользователи вынуждены, при обновлении пакета, полагаться на https-сертификат сайта»

Ключевое слово «сайта».

Shushundr ★★★
()
Ответ на: комментарий от Shushundr

В новости говорится буквально следующее «цепочка доверия прервана и теперь хоть как-то убедить пользователей в том, что это не поддельный сайт, может только сертификат, выпущенный LE» (в котором пользователи могут прочитать, что соединились с devuan.org, а не с dovuan.org)

Но это не задача LE делать какие-то подтверждения. Сертификат LE не доказывает, что посещаемый сайт реально принадлежит такой-то компании (и LE никогда не подряжался этого делать). Сертификат лишь обеспечивает безопасную коммуникацию с сайтом.

MozillaFirefox ★★★★★
()
Последнее исправление: MozillaFirefox (всего исправлений: 5)
Ответ на: комментарий от bender

Я Debian себе верну...
...
... хоть было всё у нас всерьёз 2-го сентября...

alt-tab-let ★★
()
Ответ на: комментарий от firkax

Ага, если раньше можно было пробовать свои сервисы через /etc/init.d создавать, то теперь только через /etc/rc.local.

В системд немного не так работает.

utanho ★★★★★
()
Ответ на: комментарий от einhander

Наши диваны пожрал долгоносик, милорд.

utanho ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3
Безопасность