[Eisfair] Verständnisfrage (was: Problem mit Update von Perl-Modulen)

[Olaf Jaehrling]

Hallo,

Marcus Röckrath schrieb am 19.02.21 um 12:18:
> Hallo Werner,
> 
> Werner Pfeifer wrote:
> 
>> error: shasum validation failed for "perl-module-find (3.0.0)"
>>

> Bitte lösche in so einem Fall
> 
> /var/lib/eisman/info/<paketname>/<version>

Ich frage mal dumm heraus. Warum wird dann überhaupt die Sha-summe genutzt?
Folgendes Szenario (nicht aus der Luft gegriffen sondern so ähnlich
schon real passiert).

Der Maintainer released morgens um 9 ein Paket xyz mit der sha512-sum
12345..... und so steht es auch im infofile. Um 20 Uhr wird der Server
angegriffen und der Angreifer ändert eine Binary und packt das Paket als
tar.bz2 direkt auf dem Server. Hinterher ändert er die shasum im infopaket.

Eisman verhält sich korrekt und verweigert die Installation, weil es das
Paket mit der korrekten shasum kennt. Nun werden diese Infos aber
gelöscht und eisman bekommt das manipulierte Paket incl. infofile
vorgesetzt. Demzufolge wird das dann als korrekt installiert.

Das wiederum hat die Prüfung zu ad adsurdum geführt.

Die richtige Vorgehensweise wäre doch eigentlich, dass der Paketmaintainer
a. das Paket prüft, ob Manipulationen durchgeführt wurden und wenn ja
die korrekten Daten erneut hochlädt ... und den Webadmin informiert
b. der Maintainer das Paket zurückzieht und eine neue, korrekte Version
mit höherer Versionsnummer hochlädt.

Oder sehe ich da was falsch?

Gruß

Olaf
> 
> und führe eisman update aus.
> 

-- 
Paketserver: https://ojaehrling.de/eis/index.txt