Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

×

Help jij Tweakers Website van het Jaar te worden?

Tweakers is genomineerd voor beste website 2014 in de categorieŽn Nieuws & Informatie, Community en Vergelijking. Stem nu en maak kans op mooie prijzen!

Door , , reacties: 23, views: 23.568 •
Submitter: SidewalkSuper

Hackers hebben vanaf september toegang gehad tot de infrastructuur van het FreeBSD-project door het lekken van een ssh-sleutel, zo is afgelopen week ontdekt. Twee machines voor de distributie van FreeBSD-packages van derde partijen zijn getroffen.

FreeBSD logo (105 pix)Het gaat om twee machines binnen de FreeBSD-infrastructuur, die vanaf 19 september binnengedrongen werden, schrijft de organisatie achter het opensourceproject. De hack werd afgelopen zondag pas opgemerkt. De waarschijnlijke oorzaak zou niet bij een kwetsbaar systeem of exploit liggen, maar bij het lekken van een ssh-sleutel van een ontwikkelaar die rechtmatig toegang had tot de systemen.

De beveiligingsmanager van FreeBSD.org benadrukt dat de veiligheid van de basis van het besturingssysteem, waarvan de ontwikkeling door de FreeBSD-community geschiedt, niet in het geding is. De systemen zouden alleen gebruikt worden voor het opbouwen en de distributie van third party-packages die met het OS meegeleverd worden. Voor de integriteit van packages die geïnstalleerd konden worden tussen 19 september en 11 november kan de organisatie niet instaan, hoewel analyse geen onregelmatigheden aan het licht heeft gebracht.

De beheerders van het FreeBSD-project hebben zodra de hack bekend werd de systemen offline gehaald en geverifieerd dat er niet met de base gerommeld is. Aangeraden wordt verouderde update-mechanismes niet meer te gebruiken en alles wat in de genoemde periode bijgewerkt is als verdacht te beschouwen.

Reacties (23)

...die FreeBSD voor altijd onveilig maken.
Voor altijd is een allemachtig lange tijd. Ik zou zeggen, totdat eventueel gecompromiteerde packages hersteld zijn.

Wel een erg vervelend lek voor een systeem dat zo'n goede naam heeft, want er zullen ongetwijfeld weer onnadenkende types zijn die dit aangrijpen als bewijs dat BSD niet veilig is. Wat natuurlijk onzinnig is.

Het feit dat er geen onregelmatigheden zijn gevonden en dat het zo lang absoluut niet opgevallen lijkt te zijn, doet me vermoeden dat er niet veel met de rechten op de server is gedaan. Misschien zelfs niets. Jammer dat je dan toch voor alle zekerheid die tijd moet spenderen om mogelijk verdachte pakketten te vervangen.
buitengewoon slordig van betreffende developer. houd je private key wat beter beveiligd, zou je toch denken...

heeft verder 0 gevolgen voor mensen die hun ports collectie via portsnap of subversion binnenhalen sinds voor 19 september, gelukkig maar.

de csup methode is al een tijdje deprecated.
Als je installeert vanaf de dvd ISO, hoef je je geen enkele zorgen te maken. Die was al final lang voor deze hack plaatsvond. Wel even controleren dat je updates pas binnenhaalt van 3rd party als dat officieel weer kan. Base en world zijn veilig.
Ik denk dat het volgende voor je zou moeten werken: ls -cltT /var/db/pkg/*/+CONTENTS .

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneiPhone

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013