Джонатан Риддел (Jonathan Riddell), бывший лидер дистрибутива Kubuntu, ныне управляющий проектом KDE Neon, сообщил о выявлении серьёзной проблемы с безопасностью. Из-за ошибки в настройках, репозиторий пакетов KDE Neon до 10 ноября оставался незащищённым, что позволяло любому желающему загрузить в него свои пакеты.

Несмотря на то, что следов вредоносной активности не зафиксировано, в качестве дополнительной меры предосторожности содержимое архива пакетов было очищено, воссоздано и пересобрано. Пользователям рекомендуется выполнить обновление пакетов или для более надёжной защиты переустановить свои окружения из свежих установочных ISO-образов.

Сообщается, что проблема возникла в прошлом месяце в результате разделения архива пакетов и сборочного окружения по разным серверам. Старый сервер был оставлен только для сборки, а новый сервер задействован для обслуживания раздачи пакетов. При очередной проверке файлов конфигурации выяснилось, что процесс передачи пакетов со сборочного сервера на сервер раздачи настроен некорректно и вместо использования ssh-шлюза для доступа к архиву пакетов, приём пакетов оказался открыт для всех хостов без ограничений.

Источник: http://www.opennet.ru/opennews/art.shtml?num=45491