Bezpečnostní chyba CVE-2019-3462 v APT (diskuse)

Před půl rokem, možná rokem, se v mailové konferenci debian-security někdo ptal, jestli by nebylo dobré mít archivy dostupné přes HTTPS. Odpověď: "není třeba, balíky jsou podepsané, instalace podvrženého balíku není možná."

Quando omni flunkus moritati

22.1.2019 22:10 Ladislav Hagara | skóre: 102 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2019-3462 v APT

Chris Lamb, vedoucí projektu Debian, má registrovanou přímo doménu whydoesaptnotusehttps.com.

22.1.2019 23:39 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2019-3462 v APT

Hm, možná by měl na tom webu nastavit HTTP 503 a měsíc chodit kanálama...

Quando omni flunkus moritati

23.1.2019 09:28 R
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2019-3462 v APT

Ako HTTPS vyriesi tento problem (bug v kode)?

23.1.2019 09:35 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2019-3462 v APT

Nemůže to exploitnout kdokoli po cestě, ale jenom mirror nebo někdo kdo umí zfalšovat jeho důvěryhodný certifikát.

Já to s tou denacifikací Slovenska myslel vážně.

Tak opraví apt a pohoda ne? Tahat kvůli tomu kvanta balíku s https overheadem mi kvůli tomu přijde jako pitomost, když to může řešit bezpečnost jednodušeji by design. Docela jsem háklivej na tyhle ty sekuriťáky co řešeji bezpečnost lepením různých technik ve stylu čím víc, tím líp bez ohledu na efektivitu. Viz trapný pokus vymýtit za každou cenu odevšad http.