PRESSEMEDDELELSE
Fredag den 28. oktober 2005
Download trygt software fra Dotsrc.org
Driftsgruppen har i går kunnet læse i flere forskellige netaviser, at
Dotsrc.org (tidligere SunSITE.dk) skulle have været blevet hacket, og
at der skulle være en risiko for, at open source softwaren tilgængeligt
på vores side skulle være blevet ændret i denne forbindelse.
Det er korrekt, at et af vores hostede projekter (planet.sunsite.dk)
har været udsat for angreb. Der er udnyttet en sårbarhed i det
forum-software, som ejeren af det pågældende projekt havde installeret
på hans site. Sårbarheden gav angriberen adgang til at rette i
konfigurationen for forumet, deriblandt skabelonerne brugt til at
layoute siderne.
Angriberen har udelukkende haft adgang til administrationsdelen af
forumet for det pågældende projekt. Der har ikke været adgang til at
rette i andres data på serveren, heriblandt hverken hostede
projekter, mirrordata eller vores opsætning af hele systemet.
Dotsrc.org hoster mange open source projekter, og giver også
projektejerne mulighed for at uploade filer samt at lave en hjemmeside
til deres projekt. Det er klart, at der på forhånd er truffet de
nødvendige foranstaltninger til, at de enkelte projektejere ikke har
mulighed for at ændre på data for andet end deres eget projekt. Vi har
i denne situation naturligvis krydschecket, om der alligevel skulle
have været et hul, men kan konstatere, at det ikke er tilfældet.
Af mirrors hoster Dotsrc.org blandt andet MySQL, RedHat RPMs, CPAN og
Python, og disse mirrors har som sagt ikke været berørt af omtalte
angreb. Rent faktisk ligger alle mirrors på en helt anden server
adskilt fra benævnte projekt. Vi mener derfor, at man fortsat trygt
kan downloade open source software fra Dotsrc.org.
Lidt om forløbet set fra vores side:
Vi blev den 24. oktober kontaktet af Andrew Christensen (AC) fra
FortConsult Aps, der gjorde os opmærksomme på, at projektet
planet.sunsite.dk var blevet angrebet. Han luftede desuden sin
bekymring for, om dette angreb skulle have haft betydning for de
øvrige services vi stiller til rådighed.
Det sidste kunne vi klart afkræfte, hvilket vi svarede til AC. Siden
har vi ikke hørt fra FortConsult Aps, og vi har derfor vurderet svaret
som fyldestgørende.
Vi forsøgte herefter at kontakte projektejeren af
planet.sunsite.dk. Eftersom vi havde konstateret, at angriberen af
projektet ikke på nogen måde ville kunne gøre skade på vores øvrige
services, vurderede vi ikke sagen som en hastesag. Derudover havde vi
ikke endnu fået kontakt til projektejeren, og da der samtidig var
tidsmangel i driftsgruppen, der udelukkende består af frivillig
arbejdskraft, blev projektet ikke taget ned med det samme.
I denne sag undrer det os meget, at FortConsult Aps ikke har fulgt op
på vores svar til dem, hvis der var punkter hvortil de havde
yderligere spørgsmål. I stedet vælger de at sende en, hvis ikke
forkert, så i hvert fald meget misvisende pressemeddelelse. Vi har
fået i alt een henvendelse fra firmaet, som vi fulgte op på med det
samme. Siden de ikke henvendte sig yderligere, har vi betragtet
svaret som fyldestgørende. FortConsult Aps har i stedet valgt at
basere deres anbefaling på ukvalificerede gæt, som de nemt ville kunne
have fået afkræftet ved en henvendelse.
Vi er i driftgruppen store tilhængere af full disclosure i
sikkerhedsøjemed, og det undrer os derfor, at man fra FortConsult Aps
side ikke har valgt at gøre brug af traditionen om at varsle en
deadline, før de offentliggjorde angrebet. Derudover undrer det os,
hvad der ligger til grund for FortConsults utraditionelle håndtering
af denne sag.
Ønskes der yderligere oplysninger, kontakt da staff@dotsrc.org.
Med venlig hilsen
Driftgruppen af Dotsrc.org