Gentoo Linux Github-Repository kompromittiert

Kurze Meldung, falls Nutzer von Gentoo Linux unter den Blog-Lesern sind. Wer kürzlich etwas von (z.B. Quellcode) Gentoos Github-Seite geladen hat, sollte davon ausgehen, dass dieser Inhalt vermutlich kompromittiert ist und Schadcode enthalten kann.


Anzeige

Das Ganze geht seit wenigen Stunden im Internet um. Die Warnung kommt von den Gentoo-Entwicklern. Diese haben aktuell die folgende Warnung veröffentlicht.

Today 28 June at approximately 20:20 UTC unknown individuals have gained control of the Github Gentoo organization, and modified the content of repositories as well as pages there. We are still working to determine the exact extent and to regain control of the organization and its repositories.

All Gentoo code hosted on github should for the moment be considered compromised. This does NOT affect any code hosted on the Gentoo infrastructure. Since the master Gentoo ebuild repository is hosted on our
own infrastructure and since Github is only a mirror for it, you are fine as long as you are using rsync or webrsync from gentoo.org.

Also, the gentoo-mirror repositories including metadata are hosted under a
separate Github organization and likely not affected as well.

All Gentoo commits are signed, and you should verify the integrity of the
signatures when using git.

More updates will follow.

In Deutsch: Am 28. Juni 2018 um 20:20 UTC haben Dritte die Kontrolle über den Gentoo-Github-Auftritt erlangt und den Inhalt der Repositories (mit dem Quellcode) sowie die Webseite manipuliert. Daher ist die Gentoo Github-Seite github.com/gentooaktuell deaktiviert und liefert den Fehler 404. Die Gentoo-Macher analysieren zur Zeit das genaue Ausmaß und versuchen die Kontrolle über das Github-Konto zurück zu bekommen. Sobald weitere Details bekannt sind, wollen die Gentoo-Entwickler darüber informieren.

Aktuell müssen der Inhalt des Gentoo-Github-Repositories und alle weiteren Inhalte als kompromittiert angesehen werden. Da alle Gentoo Quellcode-Commits signiert sind, kann man diese Signaturen überprüfen, um die Integrität sicherzustellen.


Anzeige
Dieser Beitrag wurde unter Linux, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.