Le service web en question est down les commits sont envoyés à une mailing list et à un serveur IRC et surveillés d'assez près par les packageurs, les soumissions de paquet aussi (au point qu'on se prend souvent des remarques sur les mailing lists si on fait une bêtise). Les connexions SSH aux serveurs sont surveillées par les sysadmins. Les serveurs de build ne sont pas compromis à notre connaissance d'après ces divers éléments et les stratégies qui permettraient de récupérer les mots de passe des admins sur identity.mageia.org ne semblent pas avoir été employées et ils pourront vérifier avant de réouvrir le service.
Si après upgrade, vérification et retour des services il y a toujours des failles, tes capacités de pen-tester seront utile pour renforcer la sécurité et il ne faudra pas hésiter à faire connaître les problèmes (d'abord en privé de préférence, histoire d'avoir quelques jours pour agir).
Certes, c'est difficile de garantir un risque zéro, mais les éléments actuels ne laissent pas soupçonner une compromission du système de build. Le risque zéro n'existe pas, certes, mais faut-il vraiment parler de foutage de gueule ?
[^] # Re: Et ils continuent de nier le problème ...
Posté par Samuel Verschelde (site web personnel) . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 4.
Le service web en question est down les commits sont envoyés à une mailing list et à un serveur IRC et surveillés d'assez près par les packageurs, les soumissions de paquet aussi (au point qu'on se prend souvent des remarques sur les mailing lists si on fait une bêtise). Les connexions SSH aux serveurs sont surveillées par les sysadmins. Les serveurs de build ne sont pas compromis à notre connaissance d'après ces divers éléments et les stratégies qui permettraient de récupérer les mots de passe des admins sur identity.mageia.org ne semblent pas avoir été employées et ils pourront vérifier avant de réouvrir le service.
Si après upgrade, vérification et retour des services il y a toujours des failles, tes capacités de pen-tester seront utile pour renforcer la sécurité et il ne faudra pas hésiter à faire connaître les problèmes (d'abord en privé de préférence, histoire d'avoir quelques jours pour agir).
Certes, c'est difficile de garantir un risque zéro, mais les éléments actuels ne laissent pas soupçonner une compromission du système de build. Le risque zéro n'existe pas, certes, mais faut-il vraiment parler de foutage de gueule ?