Update 1: la faccenda si fa seria. Sembra che anche dei server per la distribuzione dei pacchetti per RHEL siano stati violati ed alcuni pacchetti non ufficiali siano stati rilasciati con la firma originale di RedHat.
Se lavorate su RHEL andate su questa pagina e non aggiornate finché nella redhat-announce-list non si dice che va tutto bene.
Continua la saga del casino redhattiano.
Chi usa una distro RHEL/Fedora non avrà potuto fare a meno di notare che nemmeno questa settimana sono stati rilasciati aggiornamenti per nessuna delle due. Ebbene ci sono novità… che in tutta sincerità mi aspettavo.
Si erano raccomandati di non scaricare pacchetti su sistemi Fedora a causa di problemi infrastrutturali… quale potrà potrà mai essere la causa?
Se ragionate come la maggior parte delle persone in grado di accendere un pc e connettersi alla rete, avrete sicuramente indovinato: i server RH sono stati bucati.
Avevano parlato di problemi infrastrutturali nel canale di chat ufficiale1; sia Truth Happens che il loro News Blog continuano a tacere2; soltanto RHN e la fedora-announce-list avevano parlato di tutto ciò. Probabilmente perché l’utente medio non li legge mai.
Ed eccoci qui con la (presunta) sorpresa. I cracker in questione hanno trovato il modo di rompere OpenSSH e prendere il controllo dei server Fedora. Ed hanno probabilmente messo le mani sulle chiavi private usate per firmare i pacchetti rpm.
La soluzione di RH? Aggiorniamo OpenSSH, cambiamo le chiavi e facciamo pace.
Ma che fine ha fatto la vecchia RedHat che tutti conoscevamo? Si è persa mentre cercava di rincorrere i volumi di utilizzo di Ubuntu? Oppure si è venduta in borsa3?
Non ne ho idea, so soltanto che rivoglio la vecchia RH, quella vera.
Nota 1: Nel frattempo ComputerWorld pone davvero un’ottima domanda: To trust or not to trust RedHat? That is the question. Da non perdere.
Nota 2: che bello vedere R. Hensing, ingegnere di sicurezza4 Microsoft, speculare sull’accaduto. Impazzisco di gioia quando leggo i blog più di parte del mondo. Mah…
1. Rete irc.openprojects.org, canale #fedora. Non mancate di far sapere loro cosa ne pensate.↩
2. D’altra parte fecero altrettanto quando, dopo circa 10 anni di silenzio, aprirono finalmente RedHat Network.↩
3. Forse è lo stesso motivo per cui non rispondono nemmeno più ai bug report, lasciandoli in stato new a tempo indeterminato.↩
4. Ma che cavolo vuol dire ingegnere di sicurezza??? Che strani gli americani… Per me uno che non sa niente di sicurezza non dovrebbe nemmeno avere il permesso di programmare.↩
5 risposte finora ↓
anonimo abruzzese // Agosto 31, 2008 a 4:55 pm
ciao kazzim
voglio dirti che secondo me esageri. non capisco il tuo astio verso red hat che rimane una delle distro più stabili e sicure. che cosa avrebbero dovuto fare secondo te. si sono accorti della falla e hanno chiuso tutto. meglio di cosi
3D Powered // Agosto 31, 2008 a 5:24 pm
A parte il tipo di m$ non posso che quotare #1 anonimo.
Hanno fatto quel che dovevano fare. E poi RH ha fatto grandi cose per la comunità e le continua a fare.
RedHat, che fine hai fatto? Atto secondo « kazzim! // Settembre 1, 2008 a 1:24 am
[...] 1, 2008 · Nessun Commento Nella prima parte del post ed in un articolo precedente ad esso, avevo messo RedHat sotto una luce non proprio positiva, tanto [...]
ilKoala // Settembre 1, 2008 a 2:34 am
@anonimo abruzzese e @3D Powered
Innanzittutto grazie della visita.
Poi nessun astio, davvero. Temo di aver dato un’impressione sbagliata ma spero di chiarire con questo post: RedHat, che fine hai fatto? Atto secondo
Ancora non ci siamo « kazzim! // Dicembre 17, 2008 a 8:39 pm
[...] nella release finale? oppure di regressioni impreviste? Meglio di no.↩ 7. E’ già la seconda versione buona di Fedora che riescono a demolire grazie a degli aggiornamenti.↩ 8. Se non mi [...]