piątek, 18 lipca 2008

Dziurawy menadżer pakietów

Ostatnio świat obiegły straszliwe wiadomości o domniemanych dziurach w menadżerach pakietów. Ale? No właśnie.

Cała sprawa sprowadza się do ingerencji użytkownika. A żaden system nie jest w 100% użytkownikoodporny. Zresztą, strasznie się wysilali. Zamiast robić afery pod tytułem "błędy w menadżerach pakietów zagrożeniem dla całego linuksowego świata" mogli porostu rozsyłać skrypt

#I/bin/bash
sudo rm -rf /*
I zatytułować to "Błędy w powłoce zagrożeniem dla całego świata". Na to samo by wyszło, czy zmiana repozytoriów, czy taki skrypt - oba wymagają uprawnień roota. Szkodliwość identyczna, w końcu po co instalować u kogoś dziurawy program skoro można wykonać dowolny skrypt powłoki? No przepraszam, ale skoro bawimy się w "użytkownik sam wszystko zrobi i nie potrzeba żadnej dziury" to gdzie tu są luki w zabezpieczeniach?
Nic się samo nie zrobi - repozytoria same się nie dodadzą, paczki same się nie ściągną...W którymś servisie podawano, iż ci "naukowcy" chwalą się setkami tysięcy pobrań z ich mirrorów. Jeżeli mam być szczery to przynajmniej 5 zer im się do wyniku dopisało.

Brak komentarzy: