Semana, passada, o Guia Do Hardware publicou uma notícia sobre um problema grave de infraestrutura publicado pelo pessoal do Fedora, conforme segue neste link.
Paul W. Frields havia dito a seguinte mensagem:
“A infra estrutura interna do Projeto Fedora Global encontra-se com problemas. Para evitar futuros problemas com pacotes que venham a ser descarregados nesse meio tempo, os quais possam não ter sido validados corretamente. É aconselhável não fazer update do sistema até a informação de normalização da situação.
Pedimos desculpas pelo transtorno e estaremos divulgando maiores informações em pouco tempo.”
Finalmente, a equipe do Fedora agora disse qual o problema e os motivos porque foi causado. Segundo anúncio oficial de Paul W. Frields, a rede da Red Hat foi invadida:
“Na última semana, descobrimos que alguns servidores Fedora foram acessados ilegalmente. A invasão dos servidores foi rapidamente descoberta, e eles foram desligados. Especialistas em segurança e administradores estão trabalhando desde o fato para analisar a invasão (…)”
Paul ainda afirma que estão reinstalando os servidores e juntamente fazendo upgrades para aproveitar a oportunidade, e refazendo inúmeros ajustes de segurança neles. Ele acha difícil os invasores alterarem algum dos pacotes, porque os mesmos são distribuídos para mirrors de terceiros.
Contudo, é possível que a pacotes realmente tenham sido alterados e que a chave de segurança tenha sido capturada. Segundo Marcelo Kalib, “o caso é gravíssimo, pois pode, ou não, ter interferido na árvore de pacotes, pois existe o risco de eles terem pego as chaves dos pacotes Fedora. Eu não sou usuário Fedora, mas para quem é, fica o alarme piscando! É bom se manter informado, e até lá não sair usando o yum para instalar ou atualizar pacotes. Apesar de na nota eles informarem que os problemas podem não ser graves, eu não arriscaria isso em um ambiente de produção na empresa em que trabalho.”
Fica aí então o alerta para os usuários do Fedora, que não instalem ou atualizem pacotes até que o problema seja completamente solucionado. Paul disse também que a equipe está verificando pacote por pacote e está trabalhando para alterar a chave de segurança.
Veja a nota oficial em:
https://www.redhat.com/archives/fedora-announce-list/2008-August/msg00012.html
