symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Osterei im Debian-mICQ (Details-Update)
Veröffentlicht durch XTaran am Mittwoch 19. Februar, 18:49
Aus der Kleine-Schweinereien Abteilung
Distribution Die Debian Weekly News von gestern weisen uns auf eine Diskussion auf der Debian-Entwickler-Mailingliste hin, in der es darum geht, ob mICQ (und in Zukunft auch andere Software mit gleichen Problemen) wegen nicht vertrauenswürdigen (Upstream-) Autoren komplett aus Debian entfernt werden soll. Auslöser dafür war, daß der Debian-Maintainer von mICQ beim Aktualisieren des Debian-Paketes übersehen hatte, daß die Autoren von mICQ ein Osterei eingebaut hatten, welches nur bei der Kompilation für Debian einkompiliert wird, verhindert, daß mICQ startet und noch einen Rant des aktuellen mICQ-Autors ausgibt.

Der Text des Rants lautet: 

You're using the mICQ package provided by Debian. Since the Debian maintainer
is extremely uncooperative, you're adviced to use the better qu ality package
from micq.org. Simply add the follow ing line to your /etc/apt/sources.list to<
track stable versions of mICQ:
deb http://www.micq.org/debian stable main
To track CVS snapshots, add:
deb http://www.micq.org/debian testing main
Source packages may be retrieved similarly.

Swisscom: ADSL-Leistung wird gesteigert | Druckausgabe | Flexible Solarzellen aus Chip-Ausschuß  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Debian Weekly News von gestern
  • Diskussion
  • mICQ
  • verhindert, daß mICQ startet
  • Mehr zu Distribution
  • Auch von XTaran
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Schöne Worte (Score:0)
    Von Anonymer Feigling am Wednesday 19. February, 19:25 MEW (#1)
    Osterei?
    Oder doch eher Backdoor/Trojaner?
    Re: Schöne Worte (Score:2, Informativ)
    Von XTaran (symlink at deuxchevaux dot org) am Wednesday 19. February, 20:26 MEW (#2)
    (User #129 Info) http://abe.home.pages.de/
    Auf der Debianliste wird von einem "Easter Egg" gesprochen, was üblicherweise ein neutraler Begriff für versteckte Programmteile ist, die nur unter Umständen ausgeführt werden.

    In diesem Fall handelt es sich "nur" um einen Kleinkrieg zwischen dem Maintainer und den Autoren der verhindert, daß mICQ korrekt startet, außerdem gibt er noch einen kleinen Rant aus.

    Ich update am besten grade mal den Artikel...

    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Re: Schöne Worte (Score:0)
    Von Anonymer Feigling am Thursday 20. February, 07:47 MEW (#3)
    Der kluge Mann compiliert selber.
    Re: Schöne Worte (Score:1)
    Von cricetus am Thursday 20. February, 07:50 MEW (#4)
    (User #68 Info)
    Und der kluge Maintainer kooperiert mit dem ursprünglichen Entwicklerteam - und kompiliert/testet den Code selbst, bevor er ihn weitergibt.
    Re: Schöne Worte (Score:3, Informativ)
    Von P2501 am Thursday 20. February, 09:31 MEW (#5)
    (User #31 Info) http://www.p2501.ch/

    Tja, das ist in der Tat ein Problem von Debian. Nicht das ich den Maintainern im Allgemeinen Schlampigkeit vorwerfen will: Sie geben sich wirklich Mühe. Dummerweise gibt es aber auch ein paar schwarze Schafe darunter.

    In diesem speziellen Fall scheint die Situation so zu sein, dass die Buildskripts des debian-Packages seit einiger Zeit einen Fehler enthielten (eine fehlende Umgebungsvariable). Was genau dieser Fehler bewirkt hat, ist mir nicht bekannt. Sicher ist, dass es die Entwickler gestört hat, während der Maintainer das Problem als unwichtig einstufte. Weil er die Buildskripts offenbar trotz Intervention der Entwickler nicht anpasste, haben diese nun quasi Zwangsmassnahmen ergriffen, indem sie dafür gesorgt haben, dass der Bug im Buildskript das Programm unbrauchbar macht.
    Re: Schöne Worte (Score:0)
    Von Anonymer Feigling am Thursday 20. February, 10:32 MEW (#6)
    ...hat der "kluge" maintainer auch getan, nur war das osterei so praepariert, dass es bei ihm nicht ausbrach.
    Re: Schöne Worte (Score:2, Tiefsinnig)
    Von tbf am Thursday 20. February, 10:57 MEW (#7)
    (User #21 Info) http://taschenorakel.de/
    Und der kluge Maintainer kooperiert mit dem ursprünglichen Entwicklerteam

    ACK

    und kompiliert/testet den Code selbst, bevor er ihn weitergibt.

    NACK

    Tja... Dummerweise war das Osterei folgendermassen gestrickt:

    <code style="obfuscated">
    wenn $DISTRO ist Debian
    und $USERNAME ungleich Maintainer,
    dann zeige $RANT und breche ab
    </code>

    ...sprich für den Maintainer durch compilieren und starten nicht zu entdecken. Zudem war der Code virenähnlich getarnt, sprich ein "grep -ri Debian" , "grep -ri $MAINTAINER" oder "grep -ri $RANT" liefert genau null Treffer. Gerade die hinterhältige Tarnung des Codes zeigt nach üblicher Rechtsauffassung das Schuldbewusstsein des Programmauthors, ist ein Indiz für den vom Maintainer geäusserten Verdacht der geringen Vertrauenswürdigkeit des Programmauthors. Zitat: "Was kommt als nächstes, vielleicht ein 'rm -fr /'?". Fakt ist: Wenn der Package-Maintainer permanent Mist macht, haette ein schlichtes:

    <code style="human-readable">
    wenn EXTRA_VERSION nicht gesetzt,
    dann zeige Fehlermeldung und breche ab
    </code>

    voll und ganz zur seriösen Problembehebung ausgereicht.

    Was hingegen den Maintainer gerettet hätte, wäre ein einfaches "diff -ru micq-previous-version micq-new-version". Dieser Befehlt hätte ein paar Ungereimtheiten zu Tage gefördert: Wie etwa einen kleinen Programmfehler und halt diesen kryptifizierten Rantcode. Tja, irgendwie ist ein Package-Maintainer, der diesen grundlegenden Schritt der Qualitätsicherung nicht durchführt dann doch suspekt.
    Re: Schöne Worte (Score:0)
    Von Anonymer Feigling am Thursday 20. February, 11:52 MEW (#8)
    ehrlich gesagt das kannst du auch von einem upstream maintainer nicht 100% verlangen, schoen ist es aber sicher wenn er das macht! einige package maintainer haben mehr als genug packages die sie sich kuemmern muessen. und wie du sicherlich auch weisst wollen die user alle neuen packages so schnell wie moeglich.

    ein package zu kreieren ist auch nicht eine sehr einfache aufgabe. obwohl ein update unterumstaenden schnell gemacht ist. jedoch sollte man dem eigentlichen autor trauen koennen!

    was auch noch ist alle neuen packages kommen in unstable und erst nach einigen wochen ohne bug report kommt es in den testing und hier bleiben die bis zum release. damit auch genau solche sachen nicht beim normalen user nicht passieren.

    von dem her gesehen bin ich absolut der meinung vom autor!

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen