Trojaned tcpdump and libpcap (fwd)
Marc Mutz
mutz at kde.org
Thu Nov 14 23:10:08 CET 2002
On Wednesday 13 November 2002 22:37, Hauke Joachim Zuehl wrote:
<snip>
> Ich will ja nicht unken, aber so, wie ich den Heise Artikel
> verstanden habe, wurde das configure-Script des Quellcodes
> manipuliert.
<snip>
> Fazit: MD5 und GPG sind zwar ganz nett, helfen aber nicht, wenn die
> Ursache ueberhaupt nicht entdeckt wird.
<snip>
Das Problem ist, dass Autoren ihre Tarbaelle nicht auf ihrem eigenen
System signieren und dann .tar.gz und .tar.gz.sig hochladen. Schau' Dir
GnuPG-Releases an.
Also nochmal genau: Nicht nur der Distributor muss die (kompilierten)
Pakete signen, auch der Autor seine Tarballs (und der Distributor
sollte das natuerlich checken).
Marc
--
The illegal we do immediately.
The unconstitutional takes a bit longer. -- Henry Kissinger
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20021114/2b9292fe/attachment.sig>
More information about the Linux
mailing list