[Eisfair] Verständnisfrage (was3a Problem mit Update von Perl-Modulen)
Olaf Jaehrling
eisfair at ojaehrling.de
Sa Feb 20 22:09:22 CET 2021
Hallo Marcus,
Marcus Röckrath schrieb am 20.02.21 um 21:54:
> Olaf Jaehrling wrote:
> Hallo Olaf,
>
>> Ich frage mal dumm heraus. Warum wird dann überhaupt die Sha-summe
>> genutzt? Folgendes Szenario (nicht aus der Luft gegriffen sondern so
>> ähnlich schon real passiert).
>>
>> Der Maintainer released morgens um 9 ein Paket xyz mit der sha512-sum
>> 12345..... und so steht es auch im infofile. Um 20 Uhr wird der Server
>> angegriffen und der Angreifer ändert eine Binary und packt das Paket als
>> tar.bz2 direkt auf dem Server. Hinterher ändert er die shasum im
>> infopaket.
>
> Jemand, der das ursprüngliche info-File noch nicht auf dem System hatte,
> bekäme nun auch das gefakte und würde nicht davon bemerken.
Das ist natürlich korrekt, nur darauf hat der Maintainer ja keinen Einfluss.
Da muss dann der Websitebetreiber aktiv werden und darüber in den
entsprechenden Kanälen (NG/Forum/Heise o.s.) informieren.
Gruß
Olaf
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Mehr Informationen über die Mailingliste Eisfair