четверг, 1 сентября 2011 г.

Kernel.org был заражен в течение 17 дней

Начиная с 12 августа на серверах kernel.org находился троян, который записывал пароли, действия пользователей, предоставлял root-доступ и модифицировал ПО на сервере.

Только через 17 дней троян был обнаружен на машине одного из разработчиков ядра H Peter Anvin. Далее на серверах kernel.org Hera и Odin1.

Были модифицированы файлы, относящиеся к ssh (openssh, openssh-server и openssh-clients), загрузчик трояна добавлен в rc3.d.

Разработчики уверяют, что все файлы ядра подписаны SHA-1, и подменить их невозможно, но на всякий случай проверяют дальше.

Троян удалось обнаружить по сообщению об ошибке в Xnest, на машине, в которой не должно быть X Window.

Oracle отозвала лицензию, позволявшую распространять Java в Linux-дистрибутивах

Как известно, проприетарные бинарники JDK, распространяемые во многих linux-дистрибутивах, не присутствуют на официальном сайте. Для каждого релиза Sun/Oracle выкладывали специальные сборки на странице проекта jdk-distros. Так сборщики дистрибутивов могли собирать специфические для своей системы пакеты.

На днях Oracle отозвала лицензию DLJ ( «Operating System Distributor License for Java» ), которая была опубликована компанией Sun после открытия Java на конференции JavaOne в 2006 году. Как раз именно эта лицензия была лазейкой, которая позволяла перепаковывать и распространять Sun’овские (позднее Oracle’вские) бинарники Java в дистрибутивах Linux. А также благодаря ей имелся легкий доступ к проприетарным пакетам при разработке OpenJDK.

Итак, впредь (начиная с 27 апдейта JDK 6) дистрибутивы linux не могут включать проприетарную версию Oracle Java.

Проект jdk-distros закрылся вместе с лицензией. В дистрибутивы предлагается включать OpenJDK 6 и OpenJDK 7. Доступные исходники можно пересобрать в свои пакеты. Если же Linux-пользователь вместо OpenJDK хочет непременно использовать «тщательно протестированные бинарники Oracle JDK», то они по-прежнему бесплатно доступны на прежних местах на тех же условиях, что и пользователям других платформ (Oracle Binary licence).

Один товарищ из Oracle объяснил причины такого решения компании в своём ЖЖ. Он утверждает, что потребность в реализации Oracle Java неуклонно сокращалась с момента релиза OpenJDK 6, что OpenJDK уже достаточно зрелый и входит в кучу дистрибутивов, и что так будет лучше для самого OpenJDK. Тем более, что в JDK 7 именно OpenJDK 7 является основой для собственных релизов Oracle JDK 7. Подобным же образом сторонние производители могут создавать свои реализации Java, совместимые с Java SE 7.

Sylvestre Ledru, один из разработчиков Debian отмечает, что некоторые дистрибутивные пакеты жёстко завязаны на оракловские проприетарные бинарники (sun-java6-jre) и что существуют известные проблемы со шрифтами, апплетами и поддержкой OpenJDK со стороны сторонних разработчиков приложений. Он просит, чтобы юзеры активно сообщали о проблемах OpenJDK. Это позволит оперативно исправлять их и довести качество OpenJDK до уровня OracleJDK.