View previous topic :: View next topic |
Author |
Message |
shinmei n00b
Joined: 16 Sep 2004 Posts: 4
|
Posted: Fri Nov 05, 2004 7:30 am Post subject: [securite] Portage de files/ |
|
|
Bonjour,
je me pose une question relative à la sécurité de nos paquets.
En effet, l'intégrité des paquets peut être vérifiée à l'aide des valeurs du fichier Manifest.
Un attaquant pourrait comprometre un serveur distfiles, cela ne poserais pas trop de problemes, tous les utilisateurs seraient avertis du fait que la signature md5 n'est pas valide, il faudrais dans ce cas qu'il compromette aussi le serveur portage-rsync.
Mais s'il arrive a compromettre un serveur rsync, il peut aisemment modifier un fichier patch, ainsi que le fichier Manifest correspondant, de sorte a modifier le code à sa guise pour inclure son trojan.
N'y a t'il pas intéret à déposer les patch est autres (le contenu de files/ en fait) sur les serveur distfiles ?
En effet, cela obligerais la compromission de deux serveurs, et de plus lors d'une synchronisation de portage, on ne telechargerais pas les patch des applications que l'on utilise pas.
Amicalement,
ShinMei
Last edited by shinmei on Fri Nov 05, 2004 7:32 am; edited 1 time in total |
|
Back to top |
|
|
kernelsensei Bodhisattva
Joined: 22 Feb 2004 Posts: 5619 Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
Posted: Fri Nov 05, 2004 7:30 am Post subject: |
|
|
salut !
tu peux lire ca stp
[IMPORTANT] Les règles de vie du forum !!
Merci ! _________________ $ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
Back to top |
|
|
shinmei n00b
Joined: 16 Sep 2004 Posts: 4
|
Posted: Fri Nov 05, 2004 7:33 am Post subject: |
|
|
désolé, oubli de ma part.
Seb |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|