[securite] Portage de files/

shinmei · n00b Joined: 16 Sep 2004 Posts: 4

Bonjour,

je me pose une question relative à la sécurité de nos paquets.

En effet, l'intégrité des paquets peut être vérifiée à l'aide des valeurs du fichier Manifest.

Un attaquant pourrait comprometre un serveur distfiles, cela ne poserais pas trop de problemes, tous les utilisateurs seraient avertis du fait que la signature md5 n'est pas valide, il faudrais dans ce cas qu'il compromette aussi le serveur portage-rsync.

Mais s'il arrive a compromettre un serveur rsync, il peut aisemment modifier un fichier patch, ainsi que le fichier Manifest correspondant, de sorte a modifier le code à sa guise pour inclure son trojan.

N'y a t'il pas intéret à déposer les patch est autres (le contenu de files/ en fait) sur les serveur distfiles ?

En effet, cela obligerais la compromission de deux serveurs, et de plus lors d'une synchronisation de portage, on ne telechargerais pas les patch des applications que l'on utilise pas.

Amicalement,

ShinMei

kernelsensei · Posted: Fri Nov 05, 2004 7:30 am Post subject:

salut !

tu peux lire ca stp

[IMPORTANT] Les règles de vie du forum !!

Merci !
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join'

shinmei · n00b Joined: 16 Sep 2004 Posts: 4

désolé, oubli de ma part.

Seb