紅帽的 ?Ceph 和 Inktank 代碼庫遭到黑客攻擊
紅帽公司聲稱,Ceph 社區項目和 Inktank 下載網站上周遭到黑客攻擊,一些代碼可能受到了損壞。
上周紅帽遭到了一次非常令其不快的意外事件。Ceph 社區網站和 Inktank 下載網站雙雙遭到黑客攻擊。前者為開源Ceph分布式對象存儲系統托管開發代碼,后者則是Ceph的商業版本。
到底發生了什么?代碼有沒有遭到破壞?我們仍不得而知。紅帽方面稱:“雖然眼下正在開展調查這起入侵事件的工作,但我們最初的重心放在為這兩個網站確保軟件和分銷渠道的完整性上。”
好消息是“迄今為止,我們的調查還沒有發現這兩個網站上可供下載的代碼遭到了危及。”壞消息是,紅帽“無法完全排除一些受到危及的代碼在過去某個時候被下載這種可能性。”
這起入侵事件不僅向紅帽的 CentOS Ceph 打開了大門,還向 Ubuntu Linux 的 Ceph 打開了大門,無異于往這款存儲軟件的傷口上撒了把鹽。兩者都依賴來自 download.inktank.com 的代碼。CentOS 版本和 Ubuntu 版本是用 Inktank 簽名密鑰(id 5438C7019DCEEEAD)簽名的。此外,ceph.com 為用 Ceph 簽名密鑰(id 7EBFDD5D17ED316D)簽名的 Ceph 社區版本提供了上游程序包。
紅帽安全部門聲稱它們“不再信任Inktank簽名密鑰的完整性,因而使用標準的紅帽版本密鑰重新簽名了紅帽Ceph存儲產品的這些版本。紅帽Ceph存儲產品的客戶應該只使用由紅帽版本密鑰簽名的版本。”
這起入侵事件并沒有影響其他Ceph網站,比如download.ceph.com或git.ceph.com,還已知沒有影響其他任何的Ceph社區基礎設施。沒有證據表明版本構建系統或Ceph github源代碼庫受到了危及。
據 Ceph聲稱“已經為ceph.com和download.ceph.com構建了新的主機,并且重新構建了網站。download.ceph.com上的所有內容都已經過審核,指向程序包位置的所有ceph.com URL現在都重定向到那里。download.ceph.com上仍缺失一些內容,不過會在今天晚些時候補上:源代碼打包文件將從git重新生成,舊的版本程序包由新的版本密碼重新簽名。”
紅帽Ceph存儲軟件或紅帽企業版Linux(RHEL)沒有受到這個問題的影響。紅帽的其他產品同樣未遭到損壞。
使用下列操作即可下載、核實和安裝已知干凈的Ceph版本。
更換APT密鑰(Debian和Ubuntu)
sudo apt-key del 17ED316D
curl https://git.ceph.com/release.asc | sudo apt-key add -
sudo apt-get update
</blockquote>更換RPM密鑰(Fedora、CentOS和SUSE等)
sudo rpm -e --allmatches gpg-pubkey-17ed316d-4fb96ee8
sudo rpm --import 'https://git.ceph.com/release.asc'
</blockquote>重新安裝程序包(Fedora、CentOS和SUSE等)
sudo yum clean metadata
sudo yum reinstall -y $(repoquery --disablerepo=* --enablerepo=ceph --queryformat='%{NAME}' list '*')
</blockquote>所幸的是,“客戶數據并沒有存儲在那個受到危及的系統上。該系統確實存有用戶名和固定密碼的散列值,我們將這些資料提供給客戶,用于驗證下載內容。”
對于這起黑客事件是怎么得逞的,紅帽心里也沒底。另一方面,中招的網站“托管在紅帽基礎設施外面的一套計算機系統上。”重建后的網站現在已經處于紅帽的安全控制之下。
新聞來源:ZDnet.com|云頭條翻譯本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!