форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Взломан сайт репозитория RPM Fusion"	+/–
Сообщение от opennews (ok) on 27-Июл-14, 01:49
Взломан сайт репозитория RPM Fusion (http://rpmfusion.org/). При попытке скачать пакет репозитория для любого дистрибутива из rpmfusion.org/Configuration (http://rpmfusion.org/Configuration) происходит переадресация на страницу rpmfusion.org/Insecure (http://rpmfusion.org/Insecure) со ссылкой на уведомление о проблеме (https://bugzilla.rpmfusion.org/show_bug.cgi?id=3313) и следующим сообщением взломщика: <center><img src="https://www.opennet.ru/opennews/pics_base/0_1406409510.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></center> Администраторы сайта RPM Fusion до сих пор никак не отреагировали на инцидент. Суть первой проблемы в использовании на сайте wiki-движка, позволяющего любому новому пользователю отредактировать содержимое страниц, включая страницы с инструкциями и списками для загрузки. Вторая проблема заключается в ошибочной инструкции по верификации пакетов с использованием открытого ключа до начала установки, которая создаёт ложное чувство безопасности, но на деле ничего не доказывает. Репозиторий RPMFusion был создан для работы с Fedora Linux, однако также содержит пакеты для RHEL и CentOS.  RPMFusion состоит из двух основных частей: -  free  - свободное программное обеспечение (в понятии Fedora Licensing Guidelines), которое проект Fedora не может предоставить по различным причинам; -  non-free  - те пакеты, которые невписываются в Fedora Licensing Guidelines; URL: Новость: https://www.opennet.ru/opennews/art.shtml?num=40282
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Взломан сайт репозитория RPM Fusion"	+5 +/–
Сообщение от Sluggard (ok) on 27-Июл-14, 01:49
На ЛОРе уже обсудили. Это была просто правка вики. Её уже откатили.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Взломан сайт репозитория RPM Fusion"	+3 +/–
	Сообщение от Мяут (ok) on 27-Июл-14, 02:21
	Ну если это считать взломом, это ж скока всего про википедию можно сказать!
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Взломан сайт репозитория RPM Fusion"	+/–
	Сообщение от Аноним (??) on 27-Июл-14, 02:29
	Особенно про правки российских чиновников.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "Взломан сайт репозитория RPM Fusion"	+3 +/–
	Сообщение от Аноним (??) on 27-Июл-14, 07:54
	И правки конгресса США
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	14. "Взломан сайт репозитория RPM Fusion"	+/–
	Сообщение от Аноним (??) on 27-Июл-14, 12:48
	и правки пятой колонны
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Взломан сайт репозитория RPM Fusion"	+5 +/–
	Сообщение от Аноним (??) on 27-Июл-14, 04:08
	Из википедии софт как правило не ставят. А вот если некто подпихнет левую репку как "якобы RPM Fusion" - это будет ОЛОЛО.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	10. "Взломан сайт репозитория RPM Fusion"	+/–
	Сообщение от Мяут (ok) on 27-Июл-14, 12:13
	Ну ссылки на "оффициальные" сайты программных продуктов там таки есть. А учитывая, что софт на оффтопик ставится по принципу найти ссылку -> скачать -> установить, пространство для фишинга наличествует.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	22. "Взломан сайт репозитория RPM Fusion"	+/–
	Сообщение от Аноним (??) on 27-Июл-14, 17:41
	> Ну ссылки на "оффициальные" сайты программных продуктов там таки есть. Это пока кто-нибудь особо креативный не регнул домен с парой других букв и не поправил вику? Хинт админам вики: некоторые страницы надо вообще-то лочить, оставив редактируемыми только для админов и доверяемых пользователей ;). Иначе хаксоры и вирмэйкеры могут получить пачку ботов в сетку за ваш счет. > А учитывая, что софт на оффтопик Так оффтопик не зря называется маздаем...
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	8. "Взломан сайт репозитория RPM Fusion"	+4 +/–
	Сообщение от anonymous (??) on 27-Июл-14, 10:49
	Был бы у них сайт -- это была бы всего лишь правка вики. А так -- это был официальный источник ссылок для скачивания. Какой уровень безопасности -- такой и уровень взлома.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Взломан сайт репозитория RPM Fusion"	+8 +/–
Сообщение от Аноним (??) on 27-Июл-14, 02:53
Ничего я не взламывал, да я и не умею. Зарегистрировался на вики просто из интереса, охренел, когда увидел, что могу редактировать домашнюю страницу, ЗАГРУЗКИ!! А им, ведь, ВЕРИЛ, думал, что у них качать безопасно... Им ведь спамили, удаляли со страниц содержимое, а они не догадались, что ссылки на загрузку могут подменить на вирус... скажут спасибо, что я настоящий вирус не подсунул... Мои первые изменения держались несколько часов. Если бы и правда выложили вирус, кто-нибудь мог бы за это время заразиться. Мой предыдущий багрепорт ингорировали несколько лет: https://bugzilla.rpmfusion.org/show_bug.cgi?id=2630 И ещё один: https://bugzilla.rpmfusion.org/show_bug.cgi?id=862
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Взломан сайт репозитория RPM Fusion"	+4 +/–
	Сообщение от Аноним (??) on 27-Июл-14, 03:13
	Наброс нормальный, кроме одного момента... с покупкой виндовса который. Вы когда-нибудь пробовали зарепортить MS баг? И как, много ваших багов починили? :)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "Взломан сайт репозитория RPM Fusion"	+/–
	Сообщение от anonymous (??) on 27-Июл-14, 10:57
	В Виндовс нет багов, это вам скажет любая домохозяйка.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	17. "Взломан сайт репозитория RPM Fusion"	+1 +/–
	Сообщение от Аноним (??) on 27-Июл-14, 15:15
	А что такое баг?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	34. "Взломан сайт репозитория RPM Fusion"	+/–
	Сообщение от Аноним (??) on 29-Июл-14, 05:20
	> В Виндовс нет багов, это вам скажет любая домохозяйка. Что-то не заметил - регулярно зовут устранить какое-нибудь дepьмо с компом. Впрочем, в последнее время это сильно реже, ибо я вкатил большинству знакомых LTSную убунту.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	36. "Взломан сайт репозитория RPM Fusion"	+/–
	Сообщение от IPRoute on 31-Июл-14, 17:00
	Сам Windows усть большой баг..............
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	37. "Взломан сайт репозитория RPM Fusion"	+/–
	Сообщение от IPRoute on 31-Июл-14, 17:03
	> В Виндовс нет багов, это вам скажет любая домохозяйка. Сам  Виндовс  большой БАГ....
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	13. "Взломан сайт репозитория RPM Fusion"	–2 +/–
	Сообщение от Аноним (??) on 27-Июл-14, 12:33
	connect.microsoft.com
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	35. "Взломан сайт репозитория RPM Fusion"	+/–
	Сообщение от Аноним (??) on 29-Июл-14, 05:24
	> connect.microsoft.com Disconnect. Я вроде конкретный вопрос задал. Писать на деревню дедушке - это круто, но понятия MS о прозрачности процессов разработки софта, удобном взаимодействии и результативности всего этого - явно не стыкуются с моим пониманием того как это хотелось бы видеть. А еще я видел как огромный энтерпрайз 2 года с саппортом сношался. Индусики пускали пар, собирали диагностику, выкатывали фиксы. А толку было буй. Энтерпрайзятина так и не работала спустя 2 года. Качественные продукты и офигенный саппорт у этого вашего MS.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	12. "Взломан сайт репозитория RPM Fusion"	+2 +/–
	Сообщение от Аноним (??) on 27-Июл-14, 12:22
	Из их списка рассылки rpmfusion-developers: http://lists.rpmfusion.org/pipermail/rpmfusion-developers/20... > If you haven't notice, rpmfusion.org have been defaced. The wiki is open, so was not a security break. Значит, они знали, но всё равно не защитили. Я бы их понял, если бы сайт только вчера запустили, но что бы за столько лет...
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Часть нити удалена модератором

	19. "Взломан сайт репозитория RPM Fusion"	+1 +/–
	Сообщение от DFX (ok) on 27-Июл-14, 15:51
	вовремя я с Федорки свалил... Fusion - это же где "патентованый" софт, ffmpeg и тп. лежат, не ?
	Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

	32. "Взломан сайт репозитория RPM Fusion"	+/–
	Сообщение от Аноним (??) on 29-Июл-14, 05:11
	> The wiki is open, so was not a security break. Что за кидиoты там рулят всем этим fusion-ом?
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Подмена страниц на сайте репозитория RPM Fusion"	–1 +/–
Сообщение от Артемон on 27-Июл-14, 15:25
Что за вендузятские привычки, собирать бинарники по всяким помойкам?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	20. "Подмена страниц на сайте репозитория RPM Fusion"	+8 +/–
	Сообщение от Аноним (??) on 27-Июл-14, 16:07
	Вы, вероятно, плохо знакомы с RHEL-производными. Это не дубина с убунтой, там без сторонних репозиториев жить не можно.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	21. "Подмена страниц на сайте репозитория RPM Fusion"	+3 +/–
	Сообщение от Аноним (??) on 27-Июл-14, 16:08
	Это не дубина с убунтой, там Дубина, лол. Чертов словарь. Дебиан, конечно же.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	25. "Подмена страниц на сайте репозитория RPM Fusion"	+1 +/–
	Сообщение от robux (ok) on 27-Июл-14, 18:55
	> Дубина, лол. Чертов словарь. Дебиан, конечно же. А я уж начал разучивать новый мем )
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	27. "Подмена страниц на сайте репозитория RPM Fusion"	+2 +/–
	Сообщение от Stax (ok) on 27-Июл-14, 23:43
	> Это не дубина с убунтой, там без сторонних репозиториев жить не можно. И почему только почти любая инструкции об установке какой-либо интересной софтины (или просто актуальной версии стандартной) для убунты начинается с "подключите наш ppa"?..
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	28. "Подмена страниц на сайте репозитория RPM Fusion"	+/–
	Сообщение от Аноним (??) on 28-Июл-14, 09:48
	*Ехидно* А мы про серверы или десктопы? Для серверов все необходимое обычно есть в стандартных репозиториях Дебиана. А вот на RHEL и для серверов приходится подключать EPEL/Fusion.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	29. "Подмена страниц на сайте репозитория RPM Fusion"	–1 +/–
	Сообщение от анон on 28-Июл-14, 12:19
	Сложный вопрос, что из этого правильнее. Обычно в Дебиане пакетов море, но тухлые и кривые, кроме основных. А в RHEL мало, но RH за них отвечает, если ему платить.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	30. "Подмена страниц на сайте репозитория RPM Fusion"	–3 +/–
	Сообщение от Аноним (??) on 28-Июл-14, 14:06
	Как будто в убунту можно. Без PPA (которые те же помойки с потенциальной вируснёй) шагу не ступить.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	31. "Подмена страниц на сайте репозитория RPM Fusion"	+/–
	Сообщение от Deluxe (??) on 29-Июл-14, 04:36
	> Как будто в убунту можно. Без PPA (которые те же помойки с > потенциальной вируснёй) шагу не ступить. 4 года пользуюсь Ubuntu и Xubuntu на нескольких компах. Ни одного постороннего PPA за всё время подключено не было. Вирусов нет, проблем нет, недостатка в софте нет, хвататет содержимого репозиториев Canonical. Только Opera и Skype на домашнем ноуте ставились не оттуда, а из deb-пакетов с официальных сайтов. Расскажите мне, как я не могу шагу ступить без левых PPA. Или лучше сами убунтой попользуйтесь несколько лет и почувствуйте разницу.
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	33. "Подмена страниц на сайте репозитория RPM Fusion"	+/–
	Сообщение от Аноним (??) on 29-Июл-14, 05:18
	> Как будто в убунту можно. Без PPA (которые те же помойки PPA если и нужны то редко и от относительно ответственных товарищий. И там все по уму - каждый PPA это репа, с вполне себе ключами и левый ключ в этом процессе впарить будет несколько сложновато, т.к. там не вика, что попало не отредактируешь.
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема