Alfonso Maruccia

Debian, allarme sul repository insicuro

Il team del progetto Debian mette in guardia sul cambio di guardia nella gestione del dominio di un popolare repository per l'OS FOSS. Gli utenti sono pregati di aggiornare le proprie liste

Roma - Pericolo dominio insicuro per Debian, una delle distro Linux più affidabili e popolari che sul blog ufficiale lancia l'allarme: i gestori del dominio debian-multimedia.org non sono più gli stessi, i nuovi proprietari non sono noti al team e vanno quindi considerati inaffidabili.

Il dominio conteso era in precedenza gestito da "Debian Multimedia", repository non ufficiale di software e lettori multimediali per la distro. Ma il domino è scaduto e chi lo ha registrato ora non è più il responsabile del repository, che quindi non è più sicuro e andrebbe cancellato dalla lista inclusa nel file sources.list presente sul client.

Tanto più che con l'uscita di Wheezy aka Debian 7, spiega il team di sviluppatori, la necessità di servirsi di repository esterni per procurarsi pacchetti multimediali si è "grandemente ridotta" grazie alla disponibilità sull'OS di codec e player multimediali aggiornati.
Altrove si sottolinea come il rischio di usare repository non ufficiali sia sempre da tenere in considerazione, anche se nel caso in oggetto le potenziali minacce alla sicurezza sono parzialmente mitigate dalla protezione crittografica dei pacchetti software: evidentemente le vecchie chiavi necessarie a firmare digitalmente i pacchetti non sono più disponibili ai nuovi proprietari del dominio debian-multimedia.org.

Alfonso Maruccia
Notizie collegate
10 Commenti alla Notizia Debian, allarme sul repository insicuro
Ordina
  • A parte le polemiche inutili, che infatti non ci sono, la questione dei repositories è roba vecchia fin dall'anno scorso, quando è stato pubblicato su debian multimedia il seguente annuncio.

    10/05/2012 :
    New domain name deb-multimedia.org
    You must edit your /etc/apt/sources.list to replaces the old repository name by the new one.

    L'idea di un security breach installando una chiave remota e attivandola (cosa che dopo il cambio di repository ho dovuto ovviamente rifare) non è che mi fosse gradita. Il problema è che proprio mancavano interi pezzi di multimedia, anche le libavc erano compilate col flag free e non includevano gran parte dei codec.

    Ora qualcosina è cambiato d'accordo anche se programmi come AviDemux non ci sono ancora mi sembra, ma già dall'annuncio ufficiale della Wheezy mi sono posto questa domanda :

    .. conviene tenersi deb-multimedia che sono ancora validi o ritornare duri e puri ai repositories ufficiali, o fare pulizia ?
    non+autenticato
  • Perché questo discorso salta fuori adesso? E soprattutto, che senso ha? E' da oltre un anno che i repo di Marillat (sempre sia lodato) sono cambiati e chi li usa si era già accorto da un bel pezzo che lasciando debian-multimedia nel sources.list non riceveva più alcun aggiornamento. Mah, posso capire il fatto di chiedere a Marillat di cambiare nome al repository per evidenziare meglio che si tratta di un repo non ufficiale (ma generalmente chi usa Debian lo fa con cognizione e queste cose le sa benissimo...) ma tutta 'sta polemica proprio non la capisco!
    non+autenticato
  • - Scritto da: Fai il login o Registrati
    > Perché questo discorso salta fuori adesso? E
    > soprattutto, che senso ha?
    > E' da oltre un anno che i repo di Marillat (sempre sia lodato) sono
    (..)
    Perche e' il 14 giu 2013 il blog Debian scrive :
    The unofficial third party repository Debian Multimedia stopped using the domain debian-multimedia.org some months ago. The domain expired and it is now registered again by someone unknown to Debian

    I burocrati Debian per motivi ignoti, e dopo aver polemizzato 1 anno fa con Marillat , si son scordati di comprarlo sto dominioCon la lingua fuori (dopo le polemiche, sarebbe stato doveroso farlo, visto che i repo, in seguito a cio, si son spostati su deb-multimedia, ma il vecchio dominio non si era evaporato ovviamente). E ora e' in mano a furboni russi. Quindi, gli scrupolosi Debianiani, l'hanno messo in evidenza.
    non+autenticato
  • Marillat (e/o il suo team) si è semplicemente comportato in maniera inqualificabile, questo problema era stato posto molti mesi fa' da zacchiroli stesso quando fu chiesto a marillat di cambiare dominio per non confondere gli utenti sulla ufficialità di un repository che è sempre stato privato.
    Come si temeva il team di debian non è evidentemente riuscito ad appropriarsi del dominio debian-multimedia alla sua scadenza.
    non+autenticato
  • scritto cosi' sembra che i mantainers di d.m.org dormissero sonni profondi ...

    la storia parte da qui : http://lists.alioth.debian.org/pipermail/pkg-multi...
    e son diventati deb-multimedia.org .
    non+autenticato
  • vabbè, un po' bischeri lo sono comunque..
    Il dominio vecchio potevano mantenerlo, un redirect 301 al nuovo e via, col tempo i vecchi riferimenti sarebbero deprecati. Cosa gli costava mantenere il dominio? 5 $/anno???
    Alla faccia della professionalità..
    non+autenticato
  • Che cosa non hai capito di "repository non ufficiale"? debian-multimedia.org non è *MAI* stato un repository di Debian, e il relativo dominio è sempre stato possesso di un privato che l'ha gestito indipendentemente da Debian.
    non+autenticato
  • esattamente il tipo di confusione per cui hanno richiesto a Marillat di cambiare nome di dominioA bocca aperta
    non+autenticato
  • - Scritto da: bubba
    > scritto cosi' sembra che i mantainers di d.m.org
    > dormissero sonni profondi ...
    >
    >
    > la storia parte da qui :
    > http://lists.alioth.debian.org/pipermail/pkg-multi
    > e son diventati deb-multimedia.org .

    Mi sembra di capire:

    a) uno o più mantainer di Debian si siano lamentati (o quantomeno abbiano prospettato la preoccupazione) del fatto che, all'atto pratico, la maggior parte dei pacchetti forniti da questo repository siano ormai parte dei repository ufficiali, e che quindi mantenerli in un repository terzo potrebbe essere fonte di ridondanza superflua, se non di possibili problemi di compatibilità.

    b) è stato chiesto di non usare il nome Debian nel dominio, per rimarcare la non ufficialità di questo repository.

    da profano chiedo: non sarebbe stato un compromesso accettabile tenere in vita il vecchio dominio e ridirezionare tutti i contenuti su quello nuovo, piuttosto che lasciarlo scadere sapendo che sicuramente sarebbe finito in mani sconosciute? Fermo restando che per diversi motivi penso che la parola "allarme" sia poco giustificata in questo caso.
    non+autenticato
  • - Scritto da: Nome e cognome
    > - Scritto da: bubba
    > > scritto cosi' sembra che i mantainers di d.m.org
    > > dormissero sonni profondi ...
    > >
    > >
    > > la storia parte da qui :
    > >
    > http://lists.alioth.debian.org/pipermail/pkg-multi
    > > e son diventati deb-multimedia.org .
    >
    > Mi sembra di capire:
    >
    > a) uno o più mantainer di Debian si siano
    > lamentati (o quantomeno abbiano prospettato la
    > preoccupazione) del fatto che, all'atto pratico,
    > la maggior parte dei pacchetti forniti da questo
    > repository siano ormai parte dei repository
    > ufficiali, e che quindi mantenerli in un
    > repository terzo potrebbe essere fonte di
    > ridondanza superflua, se non di possibili
    > problemi di
    > compatibilità.
    >
    > b) è stato chiesto di non usare il nome Debian
    > nel dominio, per rimarcare la non ufficialità di
    > questo
    > repository.
    >
    > da profano chiedo: non sarebbe stato un
    > compromesso accettabile tenere in vita il vecchio
    > dominio e ridirezionare tutti i contenuti su
    > quello nuovo, piuttosto che lasciarlo scadere
    > sapendo che sicuramente sarebbe finito in mani
    > sconosciute? Fermo restando che per diversi
    > motivi penso che la parola "allarme" sia poco
    > giustificata in questo
    > caso.
    io la vedo cosi'. I burocrati debian (a fin di bene, eh, beninteso... pero' argomenti un po pretestuosi) hanno prodotto un pasticcio pratico. I msg linkati sono di 1 anno fa (e la discussione e' ovviamente piu vecchia).
    Con Marillat (e/o il suo team) si sono create un po di ruggini... lui ha esplicitamente cambiato domain (nessun obbligo formale.. del resto mica sta vendendo viagra su quel sito.. anzi negli anni e' stato molto apprezzato) e detto che il vecchio NON lo trasferiva al debian-team, ma lo lasciava semplicemente scadere.

    Ergo i burocrati debian, dopo aver sollevato (alcune anche giuste) questioni... alla fine se ne sono scordatiCon la lingua fuori e il dominio ha preso il volo..
    non+autenticato