[FreeBSD-Announce] Security Incident on FreeBSD Infrastructure

Miroslav Lachman 000.fbsd at quip.cz
Sat Nov 17 11:53:08 CET 2012


Pokud nekdo nema prihlaseny FreeBSD security mailinglist, tak to radeji 
preposilam i sem.

On Sunday 11th of November, an intrusion was detected on two machines
within the FreeBSD.org cluster.  The affected machines were taken
offline for analysis.  Additionally, a large portion of the remaining
infrastructure machines were also taken offline as a precaution.

http://www.freebsd.org/news/2012-compromise.html


V souvislosti s tim si dovolim osobni poznamku, ze me s timhle 
(ne)oznamenim docela stvou.
Pokud problem zjistili 11.11. a teprve 17.11. se k tomu nekdo vyjadri, 
tak mi to prijde dost nefer.
Nemluve o tom, ze nefunkcnost tech vypnutych sluzeb zpusobuje uzivatelum 
nemale problemy a nikde nebylo ani oznameni o tom, ze se jedna o nejakou 
"planovanou" udrzbu, nebo zkratka ze jsou urcite sluzby docasne vypnute. 
Takze se to v zahranicnich mailinglistech jen hemzi dotazama, proc 
nejede poradne GNATS (neobjevuji se nove PR), proc nejsou dostupne 
nektere dalsi sluzby atd. a k tomu obcas nekdo odpovedel, ze probiha 
migrace serveru.
Na zadnem z oficialnich kanalu (web, RSS, nebo FreeBSD Announce) nebylo 
zadne vyjadreni ve smyslu "nejedou ty a ty sluzby, vime o tom, delame na 
tom, vydrzte".
Az vcera, nebo prevcirem se na homepage objevil nenapadny text vedle 
odkazu "Learn More":

"The FreeBSD cluster is undergoing maintenance which may interfere with 
some services such as the GNATS PR system. We apologize for any 
inconvenience this may cause."

A to jen tak jako mimochodem, nijak nezvyrazneny, aby si ho radsi nikdo 
moc nevsimnul.

Kdyby se jednalo jen o tenhle opravdu kriticky vypadek, tak to jeste i 
pochopim, ze s tim melo hodne lidi hodne prace (ale urcite by se nasel 
nekdo, kdo mel 5 minut casu, aby napsal na web / mailinglist dve vety o 
tom, ze tyhle konkretni sluzby nepojedou). Jde spis o obecny pristup 
core teamu, ze se jakekoliv migrace a zmeny v infrastrukture proste 
neoznamuji dostatecnym zpusobem a nechava se to na uzivatelich, at to 
zjisti az pri pokusu o pouziti nektere sluzby.

U nekterych jinych projektu jsou takovehle informace dopredu napsany v 
"news", na RSS a mailinglistech. Je to vazne jen par minut casu a pritom 
to vyrazne zmeni "user experience" a vztah vyvojaru k uzivatelum a opacne.
FreeBSD ma v RSS news akorat jmena novych commiteru a clenu. Jednou za 
cas pak announcement o vydani nove verze. To mi prijde hodne nedostatecne.

No nic, svoji rozladenost z tehle situace uz jsem ze sebe vypsal, snad 
jsem tim nikomu nezkazil vikend a vsichni se zase muzeme jit venovat 
uzitecnejsim vecem :)

Mirek


More information about the Users-l mailing list