[gull] Re: [gull-annonces] Serveurs Debian compromis
Marc SCHAEFER
schaefer at alphanet.ch
Mon Nov 24 10:11:01 CET 2003
On Mon, Nov 24, 2003 at 07:59:14AM +0100, Jean-Bruno Luginbühl wrote:
> Une question à ce propos. Les fichiers sont comparés à des checksums,
> lors des apt-get et consoeur (n'est-ce pas?), mais d'ou proviennent ces
> checksum? Du même serveur? Dans ce cas, lors d'une compromission, on ne
> s'en rend pas compte. D'un autre serveur sécurisé, dans ce cas si le
> fichier est modifié, alors apt-get va s'en rendre compte, non?
Il y a des signatures électroniques GPG sur le fichier Release.gpg,
qui peut être vérifié. Par contre c'est clair que le fonctionnement
général n'est pas clair ni automatique et que la plupart des utilisateurs
Debian ne vérifient pas le Release.gpg, voire installent des deb
non officiels.
J'espère franchement que le fonctionnement sera amélioré avant que
sarge ne sorte, car il s'agit d'un très grave problème en particulier
pour une distribution si décentralisée.
More information about the gull
mailing list