В Raspberry Pi OS по умолчанию включены репозиторий и ключ заверения пакетов Microsoft

Пятница, 5 февраля 2021 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Пользователи плат Raspberry Pi обсуждают включение в штатной операционной системе Raspberry Pi OS обращения к репозиторию компании Microsoft и добавление GPG-ключа Microsoft для доверительной установки пакетов. Основные претензии связаны с тем, что репозиторий и ключ Microsoft добавлены без предупреждения пользователей.

Репозиторий Microsoft добавляется пакетом raspberrypi-sys-mods, в котором поставляются специфичные для Raspberry Pi OS настройки и скрипты. Репозиторий добавляется в /etc/apt/sources.list.d скриптом post-inst и используется для установки среды разработки VSCode.

Подобное поведение представляет опасность по двум причинам. Во-первых, при любом обновлении сведений из репозиториев, осуществляемых при установке или обновлении пакетов, пакетный менеджер опрашивает все подключенные репозитории, т.е. на сервере Microsoft накапливается информация об IP-адресах всех пользователей Raspberry Pi OS, что может применяться для построения профиля пользователя. Подобный профиль может, например, применяться для таргетированной рекламы при входе с того же IP в сервисы Microsoft.

Во-вторых, репозиторий Microsoft подключён как заслуживающий полного доверия, при том, что он не подконтролен разработчикам Raspberry Pi OS и у пользователей не запрашивалось подтверждение на добавление GPG-ключа Microsoft. В случае компрометации сторонней инфраструктуры чрез подобный репозиторий возможно распространения поддельных обновлений для замены штатных пакетов или подмена зависимостей.

Отмечается, что поддерживаемый сообществом дистрибутив Raspbian проблеме не подвержен, изменение добавлено только в Raspberry Pi OS, варианте Raspbian, поддерживаемом организацией Raspberry Pi Foundations. Для удаления обращения к серверам Microsoft в Raspberry Pi OS следует закомментировать содержимое файла /etc/apt/sources.list.d/vscode.list и удалить ключ /etc/apt/trusted.gpg.d/microsoft.gpg. Дополнительно для блокирования обращений также можно добавить »127.0.0.1 packages.microsoft.com» в /etc/hosts.

Источник: http://www.opennet.ru/opennews/art.shtml? num=54531

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 515
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003