Хакер подменил страницы на сайте репозитория RPM Fusion

Хакер Никита Чураев подменил на сайте репозитория RPM Fusion некоторые страницы в целях демонстрации уязвимости в безопасности. Пользователи, желающие скачать из rpmfusion.org/Configuration пакет репозитория для любого дистрибутива, перенаправляются на страницу rpmfusion.org/Insecure, где содержится ссылка на уведомление о проблеме.

Проблема заключается в том, что на сайте используется вики-движок, позволяющий любому новому пользователю редактировать содержимое страниц (в том числе, инструкции и списки для загрузки). Кроме того, существует ошибка инструкции по верификации пакетов с использованием открытого ключа до начала установки.

«Как можно за 6 лет не понять, что любой может подменить ссылки загрузки на вирусы? Мои первые изменения не были откачены несколько часов. Да, я понимаю, что если бы по настоящему выложили вирус, тогда бы защитили страницы, но нельзя было сразу догадаться? (ред. – орфография автора сохранена)», — написал Чураев.

По словам Чураева, вторая инструкция дает только ложное чувство безопасности, поскольку ключ на pgp.mit.edu можно опубликовать, используя любой электронный адрес, который не проверяется. «Так что даже если ключ от rpmfusion-buildsys@lists.rpmfusion.org — это не значит, что ключ от RPM Fusion», — добавил он.