Lien malware dans un Snap propriétaire du Store Ubuntu

Posté par bubar🦥 (site web personnel) le 13 mai 2018 à 08:25.

Étiquettes :

mai

2018

https://www.linuxuprising.com/2018/05/malware-found-in-ubuntu-snap-store.html?m=1

# commentaires

Posté par Benoît Sibaud (site web personnel) le 13 mai 2018 à 15:36. Évalué à 10.
Les premiers commentaire me laissent perplexes :
- "ils devraient fournir les sources" : si personne ne relit, ça ne servira pas contre ce problème, et d'ailleurs c'est un logiciel libre qui est utilisé pour y glisser le cryptominer
- "ils ne devraient fournir que du libre" : ici ça ne changerait rien non plus
- "mais alors c'est pareil pour le dépôt Ubuntu?" non tout le monde ne peut pas uploader n'importe quoi dans ce dépôt contrairement aux snaps ici
=> bref il faut avoir les sources, des gens qui les relisent (licences OK, pas de malware, etc.), un build reproductible (pas encore disponible à 100% chez Debian/Ubuntu), une distribution des paquets fiables (signatures, etc.), et aussi une équipe sécurité pour gérer les failles connues (et si possible plein d'utilisateurs pour remonter les soucis)
# PPA et Arch Aur

Posté par Maderios le 13 mai 2018 à 16:11. Évalué à 3.

Sauf erreur de ma part, c'est le même risque pour les ppa qui sont fournis par n'importe qui. Comme c'est des binaires, impossible de savoir ce qu'il y a dedans.
Concernant les paquets Arch Aur, on peut vérifier les sources et les PKGBUILD sont transparents.

Poster une information ne signifie pas nécessairement adhésion
- [^] # Commentaire supprimé
  
  Posté par Anonyme le 13 mai 2018 à 16:40. Évalué à 2.
  
  Ce commentaire a été supprimé par l’équipe de modération.
  - [^] # Re: PPA et Arch Aur
    
    Posté par Maderios le 13 mai 2018 à 18:35. Évalué à 2.
    
    Oui mais les sources, ce sont les sources, pas les ppa que l'utilisateur installe…
    
    Poster une information ne signifie pas nécessairement adhésion
    - [^] # Commentaire supprimé
      
      Posté par Anonyme le 13 mai 2018 à 21:05. Évalué à 2.
      
      Ce commentaire a été supprimé par l’équipe de modération.
      - [^] # Re: PPA et Arch Aur
        
        Posté par Maderios le 14 mai 2018 à 11:10. Évalué à 1.
        
        Comme tout paquet non ?
        
        Exact, et tout paquet n'est pas fiable. C'est pour cette raison qu'ils sont signés dans les distributions dignes de confiance. Les créateurs de ppa sont simplement invités à "signer un code de bonne conduite". Cela laisse rêveur…
        
        Poster une information ne signifie pas nécessairement adhésion

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.