Servers van Gnome geroot!

Geroot? Is dat niet een beetje heftig?

Aha, dus daarom doet developer.gnome.org het al de hele dag niet
Leuk hoor, kunnen ze dat niet doen als ik NIET net probeer voor het eerst met GLib en GTK te proggen?

IceManX schreef op 23 maart 2004 @ 22:07:
Aha, dus daarom doet developer.gnome.org het al de hele dag niet
Leuk hoor, kunnen ze dat niet doen als ik NIET net probeer voor het eerst met GLib en GTK te proggen?

Misschien een omen, om met QT ed te gaan proggen

iig, dit is dus slecht, doe dat dan bij SCO oid, heeft het tenminste nog zin

En een tikje naar Beveiliging & Virussen lijkt me niet meer dan logisch

Mja, en weer lekker het juiste moment. Het FTP archief is vanaf vanmiddag ook offline geweest voor een check. Morgen zou gnome 2.6.0 nml uitkomen, en dat is ideaal om ff een paar trojans in de tarballs achter te laten, iedereen hapt op die dingen, dus de infectie is optimaal.

Ik denk dat de gnome release hier redelijk door vertraagd zal worden, maar ik heb altijd nog liever een vertraging dan een mogelijk geroote release. Het FTP archief is inmiddels weer beschikbaar, bij een eerste checkup bleek er niets aan de hand te zijn.

Ik weet verder niet hoe en wat, er staat in de mail alleen maar dat er bewijs is voor een mogelijke root, het kan dus net zogoed een storm in een glas water zijn.

_JGC_ schreef op 23 maart 2004 @ 22:28: Het FTP archief is inmiddels weer beschikbaar, bij een eerste checkup bleek er niets aan de hand te zijn.

Wat zou het fijn zijn als alle packages md5sum en GPG-signed zouden zijn

Wat mij vooral boeit is hoe ze zijn binnengekomen. Ik draai zelf ook Linux-servers en die moeten wel veilig zijn

AlterEgo schreef op 23 maart 2004 @ 23:18:
[...]


Wat zou het fijn zijn als alle packages md5sum en GPG-signed zouden zijn

Maakt geen kont uit.

Ik weet nog van een jaartje terug dat de servers waar BitchX op gehost word geroot werden. De packages werden getrojaned maar de checksum bleef hetzelfde...

Nowhereman schreef op 24 maart 2004 @ 22:27:
[...]
Maakt geen kont uit.

Hoe zou je aan de private key en het bijbehorende wachtwoord/zin van de GPG keypair moeten komen Die hoeven mogen niet eens op een machine met internet-toegang te staan.

Ik ken geen voorbeeld van een MD5-checksum en GPG gesigneerd bestand dat ongemerkt getrojaned is.

Als je het tegendeel kan laten zien: gaarne

AlterEgo schreef op 24 maart 2004 @ 22:53:
[...]


Hoe zou je aan de private key en het bijbehorende wachtwoord/zin van de GPG keypair moeten komen Die hoeven mogen niet eens op een machine met internet-toegang te staan.

Ik ken geen voorbeeld van een MD5-checksum en GPG gesigneerd bestand dat ongemerkt getrojaned is.

Als je het tegendeel kan laten zien: gaarne

Op zich is het heel goed mogelijk om files aan te passen zonder dat daarbij de checksum verandert hoor
Neemt niet weg dat een MD5 checksum + GPG een erg goede beveiliging is, maar hiet is niet onmogelijk om dit te omzeilen

AlterEgo schreef op 24 maart 2004 @ 22:53:
[...]


Hoe zou je aan de private key en het bijbehorende wachtwoord/zin van de GPG keypair moeten komen Die hoeven mogen niet eens op een machine met internet-toegang te staan.

Ik ken geen voorbeeld van een MD5-checksum en GPG gesigneerd bestand dat ongemerkt getrojaned is.

Als je het tegendeel kan laten zien: gaarne

Files hadden idd ook alleen een MD5 checksum.