[FreeBSD-Announce] Security Incident on FreeBSD Infrastructure
Miroslav Lachman
000.fbsd at quip.cz
Sat Nov 17 11:53:08 CET 2012
Pokud nekdo nema prihlaseny FreeBSD security mailinglist, tak to radeji
preposilam i sem.
On Sunday 11th of November, an intrusion was detected on two machines
within the FreeBSD.org cluster. The affected machines were taken
offline for analysis. Additionally, a large portion of the remaining
infrastructure machines were also taken offline as a precaution.
http://www.freebsd.org/news/2012-compromise.html
V souvislosti s tim si dovolim osobni poznamku, ze me s timhle
(ne)oznamenim docela stvou.
Pokud problem zjistili 11.11. a teprve 17.11. se k tomu nekdo vyjadri,
tak mi to prijde dost nefer.
Nemluve o tom, ze nefunkcnost tech vypnutych sluzeb zpusobuje uzivatelum
nemale problemy a nikde nebylo ani oznameni o tom, ze se jedna o nejakou
"planovanou" udrzbu, nebo zkratka ze jsou urcite sluzby docasne vypnute.
Takze se to v zahranicnich mailinglistech jen hemzi dotazama, proc
nejede poradne GNATS (neobjevuji se nove PR), proc nejsou dostupne
nektere dalsi sluzby atd. a k tomu obcas nekdo odpovedel, ze probiha
migrace serveru.
Na zadnem z oficialnich kanalu (web, RSS, nebo FreeBSD Announce) nebylo
zadne vyjadreni ve smyslu "nejedou ty a ty sluzby, vime o tom, delame na
tom, vydrzte".
Az vcera, nebo prevcirem se na homepage objevil nenapadny text vedle
odkazu "Learn More":
"The FreeBSD cluster is undergoing maintenance which may interfere with
some services such as the GNATS PR system. We apologize for any
inconvenience this may cause."
A to jen tak jako mimochodem, nijak nezvyrazneny, aby si ho radsi nikdo
moc nevsimnul.
Kdyby se jednalo jen o tenhle opravdu kriticky vypadek, tak to jeste i
pochopim, ze s tim melo hodne lidi hodne prace (ale urcite by se nasel
nekdo, kdo mel 5 minut casu, aby napsal na web / mailinglist dve vety o
tom, ze tyhle konkretni sluzby nepojedou). Jde spis o obecny pristup
core teamu, ze se jakekoliv migrace a zmeny v infrastrukture proste
neoznamuji dostatecnym zpusobem a nechava se to na uzivatelich, at to
zjisti az pri pokusu o pouziti nektere sluzby.
U nekterych jinych projektu jsou takovehle informace dopredu napsany v
"news", na RSS a mailinglistech. Je to vazne jen par minut casu a pritom
to vyrazne zmeni "user experience" a vztah vyvojaru k uzivatelum a opacne.
FreeBSD ma v RSS news akorat jmena novych commiteru a clenu. Jednou za
cas pak announcement o vydani nove verze. To mi prijde hodne nedostatecne.
No nic, svoji rozladenost z tehle situace uz jsem ze sebe vypsal, snad
jsem tim nikomu nezkazil vikend a vsichni se zase muzeme jit venovat
uzitecnejsim vecem :)
Mirek
More information about the Users-l
mailing list