Piratage GitHub de Gentoo Linux : il y a eu des erreurs de sécurité

Le par  |  5 commentaire(s)
Gentoo

La compromission d'un compte GitHub pour la distribution GNU/Linux Gentoo est émaillée de quelques erreurs de sécurité.

Le 28 juin, un groupe inconnu a pris le contrôle d'un compte GitHub de l'organisation Gentoo qui propose la distribution GNU/Linux de même nom.

Des pages GitHub ont été altérées et des fichiers ebuilds - utilisés pour la compilation et l'installation d'une application manuellement - remplacés. Du code malveillant a été intégré, mais n'a pas pu être initié.

userbar-account-settingsL'incident n'a pas affecté le code hébergé sur l'infrastructure de Gentoo, dans la mesure où le dépôt GitHub n'est qu'un miroir. Ainsi, c'est une copie secondaire du code source principal de Gentoo qui avait été affectée. Le dépôt principal de Gentoo n'avait pas été touché.

Un rapport d'incident met en lumière une série d'erreurs de sécurité et vraisemblablement pour principale cause du piratage, le recours à un mot de passe trop proche d'un autre mot de passe obtenu par le groupe pirate sur un site tiers.

Des problèmes mis au jour sont l'absence d'une copie de sauvegarde de certaines données de l'organisation Gentoo sur GitHub, un stockage directement sur GitHub du dépôt systemd. En outre, il n'y avait pas d'obligation d'une authentification à deux facteurs.

Les lacunes ont été comblées. Malgré ces errements, la réactivité avait été grande pour récupérer le compte compromis.

Complément d'information
  • Gentoo Linux : compromission d'un dépôt miroir sur GitHub
    Un compte GitHub pour la distribution GNU/Linux Gentoo a été compromis. Du code a notamment été remplacé par du code malveillant. Il s'agissait d'une copie secondaire du code source principal de Gentoo.
  • GNU/Linux : Gentoo 2008.1 annulé
    La distribution source Gentoo ne connaîtra pas de version 2008.1 et à vrai dire plus aucune version .1 n'est prévue. L'équipe de développement préfère en effet se concentrer sur un LiveCD annuel et sur un média d'installation ...

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2024398
Je n'ai pas encore pris le temps de maîtriser l'installation de Gentoo mais c'est prévu dans ma liste de choses à faire.
Le #2024399
Ai goûté à Gentoo... Trop long à installer, distro trop exotique (faut quasiment tout compiler).

Autant je suis fan de Debian autant j'ai un coup de coeur pour Mint (dommage qu'ils ont laissé tomber KDE mais bon, on se fait vite à MATE qui est plus réactif). Debian reste ma distro pour mes serveurs Proxmox et Mint pour mes stations.

Ha oui, accessoirement, on a aussi des machines en W10... Comme quoi, personne n'est parfait et je suis désolé de vous décevoir.

Le #2024400
Ulysse2K a écrit :

Ai goûté à Gentoo... Trop long à installer, distro trop exotique (faut quasiment tout compiler).

Autant je suis fan de Debian autant j'ai un coup de coeur pour Mint (dommage qu'ils ont laissé tombé KDE mais bon, on se fait vite à MATE qui est plus réactif). Debian reste ma distro pour mes serveurs Proxmox et Mint pour mes stations.

Ha oui, accessoirement, on a aussi des machines en W10... Comme quoi, personne n'est parfait et je suis désolé pour cette déception.



Pas un petit Mac ?

( Pas assez cher mon fils )
Le #2024401
FRANCKYIV a écrit :

Ulysse2K a écrit :

Ai goûté à Gentoo... Trop long à installer, distro trop exotique (faut quasiment tout compiler).

Autant je suis fan de Debian autant j'ai un coup de coeur pour Mint (dommage qu'ils ont laissé tombé KDE mais bon, on se fait vite à MATE qui est plus réactif). Debian reste ma distro pour mes serveurs Proxmox et Mint pour mes stations.

Ha oui, accessoirement, on a aussi des machines en W10... Comme quoi, personne n'est parfait et je suis désolé pour cette déception.



Pas un petit Mac ?

( Pas assez cher mon fils )


Pourquoi m'insultes-tu ainsi ? T'ai-je fait du tort dans une autre vie ?

Le #2024423
Une petite doc pour installer et paramétrer Linux Mint MATE : http://www.numopen.fr
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme