Za trenutek se je zdelo, da so datoteke inkscape ogrožene
Pred nekaj dnevi je odjeknila novica so spoznali razvijalci distribucije NixOS sledi zlonamerna dejavnost na gostitelju uporablja se za prenos brezplačnega urejevalnika vektorske grafike, Inkscape, »media.inkscape.org«.
O novicah omenjajo, da med majhno analizo na gostitelju za prenos inkscape, odkrit znotraj imenika "/dl/resources/file/", od koder je organiziran prenos uradnih verzij Inkscape-a ozn indeksna datoteka z obrazcem za registracijo spletne igralnice ki pošilja podatke na številko WhatsApp.
Zadevna datoteka "index.html" mislim razvijalcem NixOS, da je gostitelj, kjer so na voljo datoteke inkscape je bil ogrožen in še posebej, da bi lahko med napadom datoteke, ki so na voljo za prenos iz inkscapea, so morda ogrožene.
Ob obisku URL-ja se pokaže nekakšna stran html, ki vsebuje neželeno pošto, ki ni povezana z Inkscapeom (odlomek spodaj):
DAFTAR 1 AKUN ZA VSE JENI GAME GAME SLOT
Glede na to Razvijalci NixOS, kontaktirani in obveščeni razvijalci Inkscape o zadevi, na katero sprva niso podali nobenega odgovora o primeru, kar je uporabnike napeljalo na najhujše misli.
Kmalu Predstavniki projekta Inkscape so prišli, da bi pojasnili situacijo ter pomiriti skupnost, saj so sporočili, da datoteko index.html "problematična" je datoteka, ki se je "prikradla", ker je iz preteklega dogodka.
Oprostite za datoteko index.html, ki je bila na našem strežniku nameščena že zdavnaj, in čeprav je bil vnos v bazi virov že zdavnaj izbrisan, je datoteka ostala v datotečnem sistemu, hitri predpomnilnik pa jo je še naprej podvajal.
Izbrisal sem datoteko html, ponastavil hitri predpomnilnik (za / in index.html) in zagnal preverjanje celovitosti vseh datotek, spletnega strežnika in različnih možnosti vdora, ki so vse negativne. Ta datoteka je bila naložena prek nalaganja galerije na spletnem mestu, kar lahko stori vsak. Indeksna datoteka je zdaj na poti, da prepreči, da bi se to ponovilo.
Če želite preveriti izvorni arhiv, vedno priporočam, da preverite podpis gpg, naložen v različici aplikacije tukaj Inkscape 1.3 - Vir: Datoteka: xz tarball | Inkscape in ga preverite z gitlab sha, ki ste ga že naredili za dodatne paranoične točke.
Oprosti za težavo.
V njegovi razlagi je zapisano, da datoteko kot tako, datoteka, ki se je na projektnem strežniku pojavila že dolgo nazaj, saj je bilo dovoljeno nalaganje vsebine "kateremu koli uporabniku", je bil uporabnik tisti, ki je izkoristil to napako in postavil indeksno datoteko na gostitelja Inkscape.
Ko so se stvari spremenile, pojasnjujejo to teorijo, da je bila ta datoteka že zdavnaj odstranjena iz baze podatkov o virih, vendar je zaradi spregleda ostala v datotečnem sistemu in jo Fastlyjev sistem za predpomnjenje še naprej odraža. Poleg tega so razvijalci sporočili, da je bilo za pomiritev skupnosti opravljeno preverjanje vseh datotek in potrdilo, da celovitost podatkov ni bila kršena.
Omeniti velja, da je bila napovedana tudi revizija modela upravljanja izdaje, saj se možnost nalaganja poljubnih datotek na strežnik za prenos prek galerije lahko obravnava kot ranljivost. Zunaj bi lahko med drugim naložil lastno datoteko tar.gz z zlonamernimi spremembami na strežnik media.inkscape.org in jo predložil kot različico.
Za preverjanje celovitosti prenesenih datotek razvijalci priporočajo uporabo povezav za prenos z uradne strani, primerjavo kontrolne vsote s podatki GitLab in preverjanje digitalnega podpisa, ustvarjenega s ključem GPG projekta.
Končno če vas zanima več o tem, podrobnosti lahko preverite v naslednja povezava.