[linux-l] Sicheres Update/Installation von Packages

Nico Golde nion at gmx.net
Di Jul 20 14:25:51 CEST 2004


Hallo neodaxus,

* neodaxus at gmx.net <neodaxus at gmx.net> [2004-07-20 13:41]:
> theoretisch ist es möglich, daß modifizierte Packages für Linux-Distros
> in Umlauf gebracht werden, um Backdoors schaffen (Beispiele: mittels
> gehacktem Server/Mirror, falsches Routing, Betreiben eines Servers mit
> manipulierten Inhalten).
> 
> Ich frage mich, welche Distros sich auf welchem Wege dagegen schützen.

Mir ist die Frage nicht ganz klar.
"Gehackte" Server kann es immer geben, aber ansonsten schützen sich die
Projekte, indem nur authorisierte Mitglieder uploaden dürfen.
Ich kann nur von Debian sprechen, aber da wird zumindest sehr genau
geprüft, was hochgeladen wird.
Bei anderen Distributionen wird das aber ähnlich sein.
Und von welchen inoffiziellen Servern man sich die Software saugt muss
man ja nun selbst entscheiden.
 
[...] 
> Angeblich wird für manche Debian-Packages noch nicht einmal ein MD5
> angegeben (?). 

Stimmt nicht. Zu einem Debian Paket gehören verschiedene Dateien.
Unter anderem eine changes Datei, in der die md5's von allen anderen
Dateien enthalten  ist und eine dsc Datei, in der Dann auch der md5 von
changes steht.
Gruß Nico
-- 
Nico Golde - 310777820 at ICQ
nico at ngolde.de | nion at gmx.net | http://www.ngolde.de
GPG: FF46 E565 5CC1 E2E5 3F69  C739 1D87 E549 7364 7CFF
Is there life after /sbin/halt -p?
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20040720/455ef0e4/attachment.sig>


Mehr Informationen über die Mailingliste linux-l