Trojaned tcpdump and libpcap (fwd)
Frank Matthieß
Frank at Matthiess.de
Wed Nov 13 21:02:01 CET 2002
Mittwoch den 13.11.2002 um 17:37 CET +0100, schrieb Achim Dreyer:
> Hallo,
>
> Ich bin mir nicht sicher ob das auf dieser Liste war, aber ich hatte doch
> letztens die Frage gelesen, wie denn sichergestellt wird das Binary-Pakete
> keine Trojaner enthalten. Dazu war der Consens das alle Paket-Manager
> (rpm, apt, etc.) mit Checksummen arbeiten. Der Weg zwischen Upstream und
> Paket-Maintainer wird meist über GPG/PGP gesichert.
> Problematische Frage:
> Was ist wenn die Original-Site kompromittiert wird ?
>
Wenn ich das richtig sehe ist Debian sehr wohl via gpg Key geschützt.
Die "Release" Datei debian/dists/(woody|sarge|sid)/Release ist via
"Release.gpg" gesichert.
In der "Release" Datei sind die MD5 Summen der Packages Dateien
hinterlegt, die wiederum die Packete über MD5 Summen sichern.
In der Regel wird aber der initial Check "Release" gegen GPG Sig nicht
gemacht.
Oder habe ich einfach eine dicken, fetten Denkfehler?
--
Frank at Home
More information about the Linux
mailing list