Sur la redhat-announce-list, le message suivant a été envoyé, à propos
des nouveaux RPMs de SSH version 1.2.30:
Je cite Jan Kasprzak, le packager:
"BEWARE! All packages are GPG-signed with my key kas@fi.muni.cz. Be sure
to check the signature. Few months ago there has been ssh-1.2.27-8i RPMs
floating around the Net, which had my name both in the Vendor and Packager
fields, but which was NOT built by me. Curiously enough these packages
contained a remote-root security hole. Thanks to people who pointed me at
this, namely Alex de Joode."
Traduction par le modérateur:
"Attention ! Tous les packages sont signés avec ma clef GPG. Soyez sur
d'avoir vérifié ma signature. Il y a quelques mois un package RPM
ssh-1.2.27-8i était disponible sur le Net, il avait mon nom dans le champs
Vendeur et Packager mais n'avait pas été fait par moi. Curieusement ces
packages contenaient un trou de sécurité qui permettait d'etre root à
distance […]"
Qui vérifie systématiquement l'authenticité de ses RPMs ? (ou .deb etc.. )
NdM. : cette dépêche a été initialement publiée le 08/08/2000 à 09h26, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).