В Raspberry Pi OS по умолчанию включены репозиторий и ключ заверения пакетов Microsoft
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Пользователи плат Raspberry Pi обсуждают включение в штатной операционной системе Raspberry Pi OS обращения к репозиторию компании Microsoft и добавление GPG-ключа Microsoft для доверительной установки пакетов. Репозиторий Microsoft добавляется пакетом raspberrypi-sys-mods, в котором поставляются специфичные для Raspberry Pi OS настройки и скрипты. Настройки /etc/apt/sources.list.d меняются скриптом post-inst и используются для установки среды разработки VSCode. Основные претензии связаны с тем, что репозиторий и ключ Microsoft добавлены без предупреждения пользователей.
Подобное поведение представляет опасность по двум причинам. Во-первых, при любом обновлении сведений из репозиториев, осуществляемых при установке или обновлении пакетов, пакетный менеджер опрашивает все подключенные репозитории, т.е. на сервере Microsoft накапливается информация об IP-адресах всех пользователей Raspberry Pi OS, что может использоваться для построения профиля пользователя. Подобный профиль может, например, применяться для таргетированной рекламы при входе с того же IP в сервисы Microsoft.
Во-вторых, репозиторий Microsoft подключён как заслуживающий полного доверия, при том, что он не подконтролен разработчикам Raspberry Pi OS и у пользователей не запрашивалось подтверждение на добавление GPG-ключа Microsoft. В случае компрометации инфраструктуры Microsoft через подобный репозиторий возможно распространение поддельных обновлений для замены штатных пакетов или подмена зависимостей.
Отмечается, что поддерживаемый сообществом дистрибутив Raspbian проблеме не подвержен, изменение добавлено только в Raspberry Pi OS, варианте Raspbian, поддерживаемом организацией Raspberry Pi Foundations. Для удаления обращения к серверам Microsoft в Raspberry Pi OS следует закомментировать содержимое файла /etc/apt/sources.list.d/vscode.list и удалить ключ /etc/apt/trusted.gpg.d/microsoft.gpg. Дополнительно для блокирования обращений также можно добавить "127.0.0.1 packages.microsoft.com" в /etc/hosts.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://old.reddit.com/r/linux...)
- OpenNews: Проект VSCodium развивает полностью открытый вариант редактора Visual Studio Code
- OpenNews: Уязвимость в пакетном менеджере APK, позволяющая удалённо выполнить код в Alpine Linux
- OpenNews: Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет
- OpenNews: Обновление OpenWrt 19.07.1 с устранением уязвимости, допускающей подмену пакетов
- OpenNews: Взлом сборочного сервера и компрометация репозиториев сообщества Libretro, развивающего RetroArch
Похожие новости:
- [IT-стандарты, Конференции, Будущее здесь, IT-компании] Privacy Day 2021: когда прайваси становится важным
- [Python, Разработка на Raspberry Pi, DIY или Сделай сам] Я сделаю свою «умную» колонку… «with blackjack and hookers!»
- Проект Raspberry Pi представил плату Pico на основе собственного микроконтроллера
- [Информационная безопасность, I2P] Как НЕ СТОИТ использовать I2P и TOR
- [Open source, Виртуализация, Облачные вычисления, Администрирование баз данных] Изучаем Bash путем написания интерактивой игры, создаем культуру DevOps, а также шпаргалка по MariaDB и MySQL
- [Perl, Беспроводные технологии, Умный дом, DIY или Сделай сам] Софтовый датчик присутствия на Linux AP + ESP8266
- [Информационная безопасность, Законодательство в IT, IT-компании] Объявлены победители и лауреаты Russian Privacy Awards 2020. Среди лауреатов Хабр
- Декабрьское обновление дистрибутива Raspberry Pi OS
- [Информационная безопасность, Big Data, Data Engineering] Модели угроз в дифференциальной приватности (перевод)
- [Программирование, Хакатоны, Развитие стартапа, Законодательство в IT] На DemHack назвали победителей
Теги для поиска: #_raspberrypi, #_raspbian, #_privacy
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 07:31
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Пользователи плат Raspberry Pi обсуждают включение в штатной операционной системе Raspberry Pi OS обращения к репозиторию компании Microsoft и добавление GPG-ключа Microsoft для доверительной установки пакетов. Репозиторий Microsoft добавляется пакетом raspberrypi-sys-mods, в котором поставляются специфичные для Raspberry Pi OS настройки и скрипты. Настройки /etc/apt/sources.list.d меняются скриптом post-inst и используются для установки среды разработки VSCode. Основные претензии связаны с тем, что репозиторий и ключ Microsoft добавлены без предупреждения пользователей. Подобное поведение представляет опасность по двум причинам. Во-первых, при любом обновлении сведений из репозиториев, осуществляемых при установке или обновлении пакетов, пакетный менеджер опрашивает все подключенные репозитории, т.е. на сервере Microsoft накапливается информация об IP-адресах всех пользователей Raspberry Pi OS, что может использоваться для построения профиля пользователя. Подобный профиль может, например, применяться для таргетированной рекламы при входе с того же IP в сервисы Microsoft. Во-вторых, репозиторий Microsoft подключён как заслуживающий полного доверия, при том, что он не подконтролен разработчикам Raspberry Pi OS и у пользователей не запрашивалось подтверждение на добавление GPG-ключа Microsoft. В случае компрометации инфраструктуры Microsoft через подобный репозиторий возможно распространение поддельных обновлений для замены штатных пакетов или подмена зависимостей. Отмечается, что поддерживаемый сообществом дистрибутив Raspbian проблеме не подвержен, изменение добавлено только в Raspberry Pi OS, варианте Raspbian, поддерживаемом организацией Raspberry Pi Foundations. Для удаления обращения к серверам Microsoft в Raspberry Pi OS следует закомментировать содержимое файла /etc/apt/sources.list.d/vscode.list и удалить ключ /etc/apt/trusted.gpg.d/microsoft.gpg. Дополнительно для блокирования обращений также можно добавить "127.0.0.1 packages.microsoft.com" в /etc/hosts. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 07:31
Часовой пояс: UTC + 5