Am Samstag, den 02.08.2008, 20:20 +0200 schrieb Markus Schulz: > > naja die Frage ist dabei aber, wie sehr vertraut man z.B. einem > > Debian-Mirror. Wer sagt denn das dort nicht jemand manipuliert, z.B. > > ältere Pakete (mit Sicherheitslecks) als neuere ausgeben. Hier sehe > > ich die größte Gefahr für Distributionen sobald der Verbreitungsgrad > > ausreichend groß ist. > > Beim etwas drüber nachdenken sollte das doch aber eigentlich nicht > machbar sein oder? > Denn die Release Datei wird von den ftpmastern signiert, dort stehen die > Prüfsummen für die Packages Dateien drin, dort müsste ein Angreifer ja > die MD5 Summe des entsprechend aktuellen Paketes durch die des alten > ersetzen um das alte (renamed) als neues auszugeben und keine Warnung > beim Nutzer hervorzurufen. Ich bin zuversichtlich, dass die Community hier bald Abhilfe schaffen wird. -- MfG Richi Never use a unstable or a testing release for productional systems! Registrierter Linux-Benutzer #452219 Machine ID: #378067 http://counter.li.org/
Attachment:
signature.asc
Description: Dies ist ein digital signierter Nachrichtenteil