パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

複数の Debian Project マシンへのセキュリティ侵害 (compromise)」記事へのコメント

  • by taz3 (5225) on 2003年11月22日 10時25分 (#438755) 日記
    アーカイブはこの侵害を受けていない

    上記を,外部の人間はどのようにすれば確認できるのでしょうか? 声明だけだと,信じる・信じないの不毛な議論になりそうな気がします.

    --
    Koichi
    • by Oliver (4) on 2003年11月22日 16時42分 (#438868) ホームページ 日記
      Debianのパッケージはすべて、登録メンテナーのGPGによる電子署名付きでアップロードされます。といっても、(まだ)パッケージそのものではなく、.dscと.changesというファイルにそれぞれソースとバイナリパッケージのmd5sumが書いてあって、そのファイルに署名がされている。平時から実際にメンテナーによるアップロードであることが確認されない限り、アーカイブに収録されることはありません。

      今回は、.dsc, .changesの電子署名を全て検証して、アーカイブのファイルのmd5sumがその中に記録されている値と同一かチェックされました。

      このチェックはその気になれば外部の人間でもできます。
      親コメント
      • で、そのパッケージが今回のクラック手法に対して安全なものかどうかはいつわかるんだろう?
        パッケージが改竄されていなかったのは喜ばしいことかもしれないけれど、
        管理上のミスなのか、システムのバグなのかも不明なのに、完全に手放しでは喜べないな。
    • by higon (6160) on 2003年11月22日 17時32分 (#438881) 日記

      一度も署名確認失敗したこと無いのでアレですけど、apt-get で取ってくるものは自動で署名を検証するようになっているはずなので、心配はいらないでしょう。また報告メールの署名で、この報告がかなりの確率で本人の物であろうと判断できます。

      情報源のMailing listを落としているのが痛いですね。 脆弱性がソフトウェアに有ったのか、運用体制に有ったのかが未だに分からない。

      親コメント
    • 外部の人間はどのようにすれば確認できるのでしょうか?

      ソースを読めば問題のあるコードが含まれていないかわかります。というのがオープンソースのメリットらしいです。

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...