Уязвимость в репозитории KDE Noen позволяла любому загружать в него свои пакеты

Джонатан Риддел (Jonathan Riddell), бывший лидер дистрибутива Kubuntu, ныне управляющий проектом KDE Noen, сообщил о выявлении серьезной проблемы с безопасностью. Из-за ошибки в настройках репозиторий пакетов KDE Noen до 10 ноября оставался незащищенным, что позволяло любому желающему загрузить в него свои пакеты.

Несмотря на то, что следов вредоносной активности не зафиксировано, в качестве дополнительной меры предосторожности содержимое архива пакетов было очищено, воссоздано и пересобрано. Пользователям рекомендуется выполнить обновление пакетов или для более надежной защиты переустановить свои окружения из свежих установочных ISO-образов.

Сообщается, что проблема возникла в прошлом месяце в результате разделения архива пакетов и сборочного окружения по разным серверам. Старый сервер был оставлен только для сборки, а новый сервер задействован для обслуживания раздачи пакетов. При очередной проверке файлов конфигурации выяснилось, что процесс передачи пакетов со сборочного сервера на сервер раздачи настроен некорректно и прием пакетов оказался открыт для всех хостов без ограничений, вместо использования ssh-шлюза для доступа к архиву пакетов.