[Eisfair] Verständnisfrage (was3a Problem mit Update von Perl-Modulen)
Marcus Röckrath
marcus.roeckrath at gmx.de
Sa Feb 20 21:54:25 CET 2021
Olaf Jaehrling wrote:
Hallo Olaf,
> Ich frage mal dumm heraus. Warum wird dann überhaupt die Sha-summe
> genutzt? Folgendes Szenario (nicht aus der Luft gegriffen sondern so
> ähnlich schon real passiert).
>
> Der Maintainer released morgens um 9 ein Paket xyz mit der sha512-sum
> 12345..... und so steht es auch im infofile. Um 20 Uhr wird der Server
> angegriffen und der Angreifer ändert eine Binary und packt das Paket als
> tar.bz2 direkt auf dem Server. Hinterher ändert er die shasum im
> infopaket.
Jemand, der das ursprüngliche info-File noch nicht auf dem System hatte,
bekäme nun auch das gefakte und würde nicht davon bemerken.
--
Gruß Marcus
[eisfair-Team]
Mehr Informationen über die Mailingliste Eisfair