L'équipe du projet FreeBSD préfère jouer la prudence et recommande à tous ceux qui tous ceux qui ont installé ou mis à jour des paquets logiciels tiers entre le 19 septembre et le 11 novembre 2012 de procéder à une réinstallation de leurs systèmes. La raison de cette recommandation est une compromission de deux serveurs du projet.
Cette compromission a eu lieu non pas via l'exploitation d'une vulnérabilité de sécurité ou en relation avec un code exploit dans FreeBSD, mais suite au vol d'une clé SSH d'un développeur qui avait un accès légitime à ces machines.
Le projet FreeBSD explique que le système d'exploitation sécurisé de type UNIX est composé de deux parties. La base qui est maintenue par la communauté FreeBSD et une collection de paquets logiciels tiers distribués par le projet.
C'est à ce deuxième niveau que l'incident a eu lieu pour donc affecter certains paquets de logiciels tiers. Pour autant, l'équipe de sécurité de FreeBSD indique n'avoir trouvé aucune preuve de modification de logiciels tiers par un pirate. Une possible altération demeure de fait théorique.
" Nous ne pouvons malheureusement pas garantir l'intégrité de tous les paquets disponibles pour une installation entre le 19 septembre 2012 et le 11 novembre 2012. […] Nous devons recommander de considérer une réinstallation complète. "
Le projet FreeBSD donne plus de détails dans un rapport d'incident et annonce que la sécurité sera renforcée en se tournant vers méthodes de distribution plus robustes.
