Bug lcms-1.11.tar.gz/ rapport avec rsync hacked ?

haxix · n00b Joined: 22 Oct 2003 Posts: 32 Location: BZH

root@boo root # rm /usr/portage/distfiles//lcms-1.11.tar.gz
root@boo root # emerge -uDv world
Calculating world dependencies ...done!
>>> emerge (1 of 2) media-libs/lcms-1.11 to /
>>> Downloading http://212.219.56.152/sites/www.ibiblio.org/gentoo//distfiles/lcms-1.11.tar.gz
--21:47:27-- http://212.219.56.152/sites/www.ibiblio.org/gentoo/distfiles/lcms-1.11.tar.gz
=> `/usr/portage/distfiles/lcms-1.11.tar.gz'
>>> Downloading http://www.littlecms.com/lcms-1.11.tar.gz
--21:47:27-- http://www.littlecms.com/lcms-1.11.tar.gz
=> `/usr/portage/distfiles/lcms-1.11.tar.gz'
Resolving www.littlecms.com... 216.251.32.92
Connecting to www.littlecms.com[216.251.32.92]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 559,624 [application/x-tar]

100%[===================================================================>] 559,624 59.20K/s ETA 00:00

21:47:41 (45.51 KB/s) - `/usr/portage/distfiles/lcms-1.11.tar.gz' saved [559624/559624]

!!! File is corrupt or incomplete. (Digests do not match)
>>> our recorded digest: 9b90cad3620776e891ef686da0678918
>>> your file's digest: b21a563eeb240e08d3371cb1426b2bc6
!!! File does not exist: /usr/portage/distfiles//lcms-1.11.tar.gz

root@boo root #

zarasoustra17 · Posted: Wed Dec 03, 2003 9:49 pm Post subject:

rsync hacked ???---> faut m'expliquer mais quand j'ai ce genre de message, je fais rm -f /usr/portage/distfile/lcms-1.11.tar.gz(ou autre) puis emerge rsync et je relance ma commande. Dans 99.9 % des cas ça marche, les 0.1% ou ça marche pas c'est que j'ai fait un rsync depuis un serveur 'out of sync' mais ça finit toujours par s'arranger :wink:

c'est pas un bug, c'est juste pour te rappeller que t'es sous gentoo!!

yuk159 · Posted: Thu Dec 04, 2003 12:58 am Post subject:

Je ne comprend pas trop le titre du fil, mais bon ...
En faite emerge verifie les sommes de controle MD5 simplement pour ne pas commencer une compilation qui de toute facon et voue a l'echec etant donne que le paquet n'est pas complet.
Pour ce qui et du "hacked" je pense (si j'ai bien compris les sens du mot) qu'un pirate ayant acces en ecriture a un serveur modifirait aussi les sommes de controle

Comme te le conseil zarasoustra tu fait un petit emerge rsync ou tu change de mirroir et tout devrait s'arranger

_________________
The box said: "Requires Windows 98/2000/XP/NT, or better."
So, I installed LINUX!
Instagram

dioxmat · Posted: Thu Dec 04, 2003 4:28 am Post subject:

Un des serveur rsync a effectivement été hacké, et est resté compromis pendant a peu pres une heure.

Sinon, pour lcms, voila mon md5sum:
9b90cad3620776e891ef686da0678918 lcms-1.11.tar.gz 559622

comme le .tar.gz que jai recupere correspond bien, et que je n'utilisais pas le serveur rsync hacké, je ne pense pas que ca doit du a ca.

Edit: Ooops, en fait il ne s'agit que d'un des serveurs derriere rsync.gentoo.org (il ya une rotation derriere), et pas le serveur principal.
Bref, dans le doute, re-rsync.
_________________
mat

yuk159 · Posted: Thu Dec 04, 2003 5:16 am Post subject:

Aie !!!!

Je viens de lire l'info pas cool ca ... apres debian gentoo

Ils n'ont que ca a foutre, d'empecher des produits libres de tourner, et par la meme occase nous faire CHI.... :evil:

_________________
The box said: "Requires Windows 98/2000/XP/NT, or better."
So, I installed LINUX!
Instagram

mickey08 · Posted: Thu Dec 04, 2003 6:57 am Post subject:

d'apres ce que j'ai lu savannah y est passé aussi ...

c'est la fete :/
mais au moins ce n'est pas resté longtemps sans que cela soit remarqué .
_________________
pom pom powa

cylgalad · Veteran Joined: 18 Apr 2003 Posts: 1327 Location: France

Ca m'a fait la même chose.
A mon avis, le md5 de l'ebuild est faux, vu que le fichier est récupéré depuis le site officiel, ça arrive (pysoulseek-1.2.4 c'est pas mal non plus...)
Pour que ça marche :

dioxmat · Posted: Thu Dec 04, 2003 5:36 pm Post subject:

cylgalad: refaire le digest est une mauvaise idée. Il suffit que yait eu un probleme de secu justement, la tu vas faire comme si de rien n'était et donc peut etre installer un truc corrompu.

Le digest que moi j'ai eu en telechargant le fichier correspond a ce quil a dans son ebuild, et ce que jai moi dans le mien. Je lui conseillerais donc plutot de retelecharger le fichier et de voir ce que ca donne...
_________________
mat

cylgalad · Veteran Joined: 18 Apr 2003 Posts: 1327 Location: France

Ca donne la même chose, le fichier n'est pas compromis vu qu'il vient du site de l'auteur, peut-être que l'auteur du programme a fait de petits changements sans changer de version (pas comme pysoulseek 1.2.4a...).

dioxmat · Posted: Fri Dec 05, 2003 4:59 pm Post subject:

Gaffe, si on veut etre parano, il se peut tres bien que le site de l'auteur ait ete piraté :)

Le mieux est de garder celui que t'as downloadé quelque part, de retenter l'emerge, si cette fois ca marche, de comparer le contenu des 2 archives pour voir le pb (et qui sait ptet que tu vas decouvrir un trojan... ou juste te rendre compte que ya eu un pb au moment de ton premier telechargement :)
_________________
mat

scox · Retired Dev Joined: 01 Oct 2003 Posts: 6 Location: France

dioxmat · Posted: Sat Dec 06, 2003 1:22 am Post subject:

Oui oui, j'ai lu bcp trop rapidement, je viens de corriger mon post.
_________________
mat