Debian Multimedia repository onveilig

Vorig jaar heeft de maintainer van debian-multimedia zijn repository hernoemd naar deb-multimedia, omdat de Debian-ontwikkelaars het niet fijn vonden dat de onofficiële repository door gebruikers vaak als een officiële repository van het Debian-project werd beschouwd. Gebruikers konden eenvoudig overschakelen door de domeinnaam van de repository in hun /etc/apt/sources.list te vervangen door deb-multimedia.org. Ondertussen heeft iemand blijkbaar weer de originele domeinnaam debian-multimedia.org geregistreerd en er een Russische website voor motorliefhebbers van gemaakt. Het bracht de Debian-maintainers ertoe om een waarschuwing uit te sturen: wie nog altijd debian-multimedia.org bij zijn repository’s heeft staan, kan die maar beter verwijderen, want niets belet de onbekende Rus om kwaadaardige Debian-pakketten op zijn server te plaatsen. Je controleert eenvoudig of je de verlopen domeinnaam nog gebruikt met het volgende commando:

$ grep -i debian-multimedia.org /etc/apt/sources.list /etc/apt/sources.list.d/*

Uiteindelijk is de kans klein dat de Russen iets kwaadaardigs hebben gedaan. Bovendien mogen we ervan uitgaan dat ze niet beschikken over de signing keys van de maintainer van de repository, waardoor alleen gebruikers die unsigned packages installeren, gevaar lopen. Deze gebeurtenis moet je echter wel even doen nadenken, ook als je geen Debian gebruikt. Vertrouw je nog alle repository’s die je ooit eens aan je Linux-distributie hebt toegevoegd? Het kan geen kwaad om eens een grote schoonmaak te houden…

http://bits.debian.org/2013/06/remove-debian-multimedia.html