Journal Un RPM piraté chez Mdk 10.1-Official?

Posté par  (site web personnel) .
Étiquettes : aucune
0
1
nov.
2004
Salut journal,

J'ai l'impression que qqun a réussi à remplacer un RPM de la Mandrake 10.1 Official, peut-être par une version vérolée.

La signature GPG du paquet RPM ld.so1-1.9.11-10mdk.i586.rpm de Mandrake 10.1 Official est mauvaise à la fois sur les isos du Powerpack officiel et sur les mirroirs proxad.


$ rpm -qpl ld.so1-1.9.11-10mdk.i586.rpm
error: ld.so1-1.9.11-10mdk.i586.rpm: signature V3 DSA: BAD, key ID 70771ff3

$ md5sum ld.so1-1.9.11-10mdk.i586.rpm
c62860d740b331a4fe5b6979b2fcf648 ld.so1-1.9.11-10mdk.i586.rpm

$ md5sum Mandrakelinux-10.1-Official-Powerpack-CD5.i586.iso
efe85416a3f3d69e8b0931e7db604377 Mandrakelinux-10.1-Official-Powerpack-CD5.i586.iso


Cependant, le paquet ne semble pas corrompu:


$ rpm --nogpg -qip ld.so1-1.9.11-10mdk.i586.rpm
Name : ld.so1 Relocations: (not relocatable)
Version : 1.9.11 Vendor: MandrakeSoft
Release : 10mdk Build Date: ven 30 aoû 2002 19:15:17 CEST
Install Date: (not installed) Build Host: hp6.mandrakesoft.com
Group : System/Base Source RPM: ld.so1-1.9.11-10mdk.src.rpm
Size : 431959 License: GPL
Signature : DSA/SHA1, ven 08 oct 2004 13:19:50 CEST, Key ID e7898ae070771ff3
Packager : Giuseppe Ghibò <ghibo@mandrakesoft.com>
Summary : The Linux dynamic linker, library and utilities.
Description :
The dynamic linker provides the user-level support for loading and
linking DLL and ELF shared libraries. It is required by any program
that uses shared libraries. This package provides the version 1.9.11
of the loader ld-linux.so.1 for backward compatibility of old libc.5
binary applications.


C'est normal docteur?

Surtout ne me dites pas de faire un rapport de bug! J'ai envoyé un mail sur la liste sécurité de mandrake, mais le modérateur l'a arrêté on dirait. J'ai voulu vérifier dans les archives si quelqu'un en avait déjà parlé, mais le serveur web des archives était cassé. J'ai voulu envoyer un bug report sur le bugzilla https://qa.mandrakesoft.com/(...) mais on me dit que les rapport de bugs sur les versions stables doivent se faire sur Anthill sur http://bugs.mandrakelinux.com/(...) . Le site était aussi cassé alors j'ai attendu qq jours, le temps qu'il remarche. Et là, je dois choisir la version de mandrake stable, mais la 10.1-Official n'est pas dans la liste. Alors, j'ai écrit un message sur le forum "sécurité" du MandrakeClub, mais personne n'a répondu.

Cet été j'ai fait un rapport de bug pour Debian, hé ben c'était beaucoup plus simple
  • # plusieurs fois

    Posté par  (site web personnel) . Évalué à 2.

    j ai eu de nombreuses fois ce probleme avec le ftp de proxad.
    ( une bonne dizaine de paquets )

    je crois qu il ne faut pas trop s'inquieter, personnelement je me suis dit que le ftp de proxad ne devait pas etre a jour ou un truc dans le genre.
  • # heuuuu

    Posté par  . Évalué à 3.

    Official 10.1 :

    #rpm -qa | grep ld.so1
    #

    --> rien ?

    ld.so1-1.9.11-10mdk RPM for i586
    The dynamic linker provides the user-level support for loading and
    linking DLL and ELF shared libraries. It is required by any program
    that uses shared libraries. This package provides the version 1.9.11
    of the loader ld-linux.so.1 for backward compatibility of old libc.5
    binary applications.


    Tu utilises des binaires compatble avec la libc.5 ??? en 2004 ?

    Build Date: ven 30 aout 2002 19:15:17 CEST

    il n'a meme pas ete re-compilé depuis 2002 !!!
    Ce doit etre autre chose .......

    Mais j'ai quand meme :
    # md5sum ld.so1-1.9.11-10mdk.i586.rpm
    c62860d740b331a4fe5b6979b2fcf648 ld.so1-1.9.11-10mdk.i586.rpm
    # rpm -qpl ld.so1-1.9.11-10mdk.i586.rpm
    erreur: ld.so1-1.9.11-10mdk.i586.rpm: signature V3 DSA: BAD, key ID 70771ff3

    a suivre
  • # euh ?

    Posté par  (site web personnel) . Évalué à 2.

    md5sum ld.so1-1.9.11-10mdk.i586.rpm donne :
    b8baae3192948e58c3e285eb6ea0e257 ld.so1-1.9.11-10mdk.i586.rpm
    , exactement la même somme que celui-ci ftp://ftp.proxad.fr/mirrors/ftp.mandrake-linux.com/Mandrakelinux/d(...)

    et la somme MD5 de mon iso du cd 5 est la suivante :
    bca507409a8ef33c930ced2fb4b37e8b et non pas efe85416a3f3d69e8b0931e7db604377


    T'es sur de tes isos ??
    • [^] # Re: euh ?

      Posté par  (site web personnel) . Évalué à 2.

      Je parlais du paquet officiel:

      Devel ftp://ftp.proxad.fr/mirrors/ftp.mandrake-linux.com/Mandrakelinux/d(...) b8baae3192948e58c3e285eb6ea0e257
      Official ftp://ftp.proxad.fr/mirrors/ftp.mandrake-linux.com/Mandrakelinux/o(...) c62860d740b331a4fe5b6979b2fcf648

      Le MD5SUM du paquet officiel via proxad ou via le mandrakeclub sont bien les mêmes. Mais la signature n'est pas bonne. Enfin, c'est peut-être pas grave.

      Et mon iso a l'air bon. Quelqu'un sur le mandrakeclub m'a dit que ces md5 étaient bons:

      [code]
      7833f17c3fbe95581c48cf3848792d21 Mandrakelinux-10.1-Official-Download-CD1.i586.iso
      5850545e8fa3f63323a90b1403ec5064 Mandrakelinux-10.1-Official-Download-CD2.i586.iso
      029f660c78e29427f775a54284fb7085 Mandrakelinux-10.1-Official-Download-CD3.i586.iso
      32bfb2294ce18651e4d5fd7ef1a31f47 Mandrakelinux-10.1-Official-Download-CD4.i586.iso
      424a444dd27dfd0b3c104dcc4b763b15 Mandrakelinux-10.1-Official-DVD.i586.iso
      132d0fea15e901f4ef7f1a9647a77d49 Mandrakelinux-10.1-Official-Powerpack-CD1.i586.iso
      19d00e9fcbaad73e1b082b26f28695d1 Mandrakelinux-10.1-Official-Powerpack-CD2.i586.iso
      85c08d954186531363e8533e107d8897 Mandrakelinux-10.1-Official-Powerpack-CD3.i586.iso
      c06ecf43e722b37c90e4ba14a0b68302 Mandrakelinux-10.1-Official-Powerpack-CD4.i586.iso
      efe85416a3f3d69e8b0931e7db604377 Mandrakelinux-10.1-Official-Powerpack-CD5.i586.iso
      e72652acaeb21059a536d3d6fb8a3055 Mandrakelinux-10.1-Official-Powerpack-CD6.i586.iso
      [/code]
  • # Liste de securite && autre détail

    Posté par  (site web personnel) . Évalué à 1.

    La liste est modéré, car il y a eu trop de spam/virus il y a à peu prés un an, il faut donc être inscrit pour pouvoir posté.

    Sinon, une fois inscrit, tout marche tout seul.

    En ce qui concerne le paquet :

    [misc@n1 misc] $ rpm -qpK /main/ld.so1-1.9.11-10mdk.i586.rpm
    ld.so1-1.9.11-10mdk

    [misc@n1 misc] $ rpm -qpl /main/ld.so1-1.9.11-10mdk.i586.rpm
    /lib/ld-linux.so.1
    /lib/ld-linux.so.1.9.11
    /lib/libdl.so.1
    /lib/libdl.so.1.9.11
    /usr/bin/ldd-libc5
    /usr/share/doc/ld.so1-1.9.11
    /usr/share/doc/ld.so1-1.9.11/README
    /usr/share/doc/ld.so1-1.9.11/copyright
    /usr/share/man/man1/ldd-libc5.1.bz2

    [misc@n1 misc] $ md5sum /main/ld.so1-1.9.11-10mdk.i586.rpm
    b8baae3192948e58c3e285eb6ea0e257 /main/ld.so1-1.9.11-10mdk.i586.rpm

    Il a en effet l'air d'être corrompu chez toi.
    • [^] # Re: Liste de securite && autre détail

      Posté par  (site web personnel) . Évalué à 0.

      Mhh, oublie la somme md5, j'ai pris le paquet de cooker, qui est le meme en terme de contenu, à ceci prés qu'il n'est pas signé avec la meme clé que le paquet d'official.

      [misc@virgo plop] $ rpm2cpio /home/root/mandrake/mdk/Mandrakelinux/official/10.1/i586/media/main/ld.so1-1.9.11-10mdk.i586.rpm | cpio -id
      847 blocks
      [misc@virgo plop] $ ls
      lib usr
      [misc@virgo plop] $ md5sum $(find -type f)
      d287e9d13c05cc971705256674a9b4a4 ./lib/ld-linux.so.1.9.11
      0c314e44e74f22a754025739a164b5b4 ./lib/libdl.so.1.9.11
      4c49d6e5f233f4291aaaf06c7e1a5e71 ./usr/bin/ldd-libc5
      dbc7275ca1e7bed9611e4cf005364506 ./usr/share/doc/ld.so1-1.9.11/README
      012016afb809dac0ca2f49b5ab2df610 ./usr/share/doc/ld.so1-1.9.11/copyright
      a155ac89a37c836d813460c464ebf0c7 ./usr/share/man/man1/ldd-libc5.1.bz2
      [misc@virgo plop] $ rpm -qpK /home/root/mandrake/mdk/Mandrakelinux/official/10.1/i586/media/main/ld.so1-1.9.11-10mdk.i586.rpm
      erreur: /home/root/mandrake/mdk/Mandrakelinux/official/10.1/i586/media/main/ld.so1-1.9.11-10mdk.i586.rpm: signature V3 DSA: BAD, key ID 70771ff3

      et avec le paquet actuel signé et tout :

      [misc@n1 plop] $ rpm2cpio /main/ld.so1-1.9.11-10mdk.i586.rpm | cpio -id
      847 blocks
      [misc@n1 plop] $ md5sum $(find -type f)
      d287e9d13c05cc971705256674a9b4a4 ./lib/ld-linux.so.1.9.11
      0c314e44e74f22a754025739a164b5b4 ./lib/libdl.so.1.9.11
      4c49d6e5f233f4291aaaf06c7e1a5e71 ./usr/bin/ldd-libc5
      dbc7275ca1e7bed9611e4cf005364506 ./usr/share/doc/ld.so1-1.9.11/README
      012016afb809dac0ca2f49b5ab2df610 ./usr/share/doc/ld.so1-1.9.11/copyright
      a155ac89a37c836d813460c464ebf0c7 ./usr/share/man/man1/ldd-libc5.1.bz2
      [misc@n1 plop] $

      Je croit que le message indique juste que la clé n'est pas dans le trousseau de rpm.

      Aprés recherche, j'ai ça :
      /home/misc $ gpg --keyserver pgp.mit.edu --recv-keys 70771ff3
      gpg: clé 70771FF3: clé publique "Mandrake Linux <mandrake@mandrakesoft.com>" importée

      La clé a été signé par une dizaine de personnes, donc je pencherais plus à un probléme lors de la génération des signatures qu'autres choses.
  • # Bof...

    Posté par  (site web personnel) . Évalué à 2.

    J'en ai régulièrement, des signatures non conformes... je les vérifie même plus, et quand il m'ennuie avec ça, je passe outre systématiquement. C'est comme pour les ISO téléchargées, je trouve jamais la même ISO, mais tout marche bien quand même.
    Je me demande si le système est au point, vraiment. Y a toujours plein d'explications différentes à chaque problème. En plus, je me demande si les serveurs ne modifient pas des octets sur les fichiers, ou alors si les fichiers sont pas modifiés, à quelques octets d'en-tête près, selon le logiciel de téléchargement que tu utilises. Faut aussi savoir si t'as les bonnes clés, si le mainteneur a correctement signé... Bref, y a tellement de points sur lesquels ça peut achopper que je passe outre.
    De toute façon, y a pas de virus sous Linux, c'est le marketing de Mandrake qui l'a dit, alors...
    • [^] # Re: Bof...

      Posté par  . Évalué à 1.

      Si toi tu crois tout ce qu'on te dit, t dans la merde.

      Pour foutre un virus dans l'iso, suffi de decompacter l'ISO, de modifier les sources puis de recreer une ISO et la y aura un virus dedans.

      Mandrake va te dire que le pere noel existe, tu vas les croire.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.