Особенность отображения проектов на GitHub создала видимость внедрения бэкдора в ядро Linux

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 22 Dec 2018.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,613
    Likes Received:
    3,615
    Reputations:
    693
    В интерфейсе GitHub выявлена интересная особенность, позволяющая представить любое стороннее изменение как изменение, уже включённое в основной проект. Например, сегодня в социальных сетях стала распространяться ссылка на изменение в официальном зеркале основного репозитория ядра Linux, свидетельствующая о подстановке бэкдора в драйвер hid-samsung.

    Разбор ситуации показал, что GitHub в целях оптимизации хранения и минимизации дублирования данных хранит вместе все объекты из основного репозитория и связанных с ним форков, логически разделяя принадлежность коммитов. Подобное хранение позволяет просмотреть в любом из связанных репозиториев любой коммит из любого форка, явно указав его хэш в URL.

    Например, в случае с демонстрацией бэкдора, один из пользователей создал в интерфейсе GitHub форк основного репозитория ядра Linux, далее добавил в свой форк коммит с кодом, похожим на бэкдор. После чего он сформировал ссылку, в которой SHA1-идентификатор внешнего изменения был подставлен в URL основного репозитория. При открытии подобной ссылки посторонний коммит показывается в интерфейсе GitHub в контексте основного репозитория, несмотря на то, что совершён в форке и не имеет к основному репозиторию никакого отношения и в нём подобный коммит отсутствует.

    [​IMG]
    Более того, в интерфейсе GitHub при просмотре списка изменений для отдельных файлов в основном репозитории показываются и сторонние коммиты, что создаёт большую путаницу. При извлечении данных или клонировании репозитория при помощи команд git сторонние изменения в получаемый репозиторий не попадают.

    [​IMG]

     
    seostock and altblitz like this.
  2. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,227
    Likes Received:
    2,608
    Reputations:
    230
    Как называется тот приятный глазу шрифт на первом изображении?
    Начиная с dbg_hid?
    Покою моему больше нет спокойствия, пока не разузнаю.

    И главное.
    С детских пелёнок, пользуюсь лишь проверенными и надёжными драйверами Linux kernel.

    [​IMG]

    [​IMG]
     
    #2 altblitz, 22 Dec 2018
    Last edited: 22 Dec 2018
    seostock and Suicide like this.
Loading...