Хакер подменил страницы на сайте репозитория RPM Fusion

Хакер Никита Чураев подменил на сайте репозитория RPM Fusion некоторые страницы в целях демонстрации уязвимости в безопасности. Пользователи, желающие скачать из rpmfusion.org/Configuration пакет репозитория для любого дистрибутива, перенаправляются на страницу rpmfusion.org/Insecure, где содержится ссылка на уведомление о проблеме.

Проблема заключается в том, что на сайте используется вики-движок, позволяющий любому новому пользователю редактировать содержимое страниц (в том числе, инструкции и списки для загрузки). Кроме того, существует ошибка инструкции по верификации пакетов с использованием открытого ключа до начала установки.

«Как можно за шесть лет не понять, что любой может подменить ссылки загрузки на вирусы? Мои первые изменения не были откачены несколько часов. Да, я понимаю, что если бы по настоящему выложили вирус, тогда бы защитили страницы, но нельзя было сразу догадаться? (ред. – орфография автора сохранена)», -  написал  Чураев на форуме linux.org.

«Первая инструкция по проверке: «If you have newly installed the rpmfusion-*-release.rpm repo packages, and wish to verify its keys, check the fingerprints below». И дураку понятно, что проверять надо до установки, а не после. Если пакет уже установлен, считай – заразился», - отметил хакер .

По словам Чураева, вторая инструкция дает только ложное чувство безопасности, поскольку ключ на pgp.mit.edu можно опубликовать, используя любой электронный адрес, который не проверяется. «Так что даже если ключ от rpmfusion-buildsys@lists.rpmfusion.org - это не значит, что ключ от RPM Fusion», - добавил он.