Ответить на комментарий

Насколько я помню, просто тогда у какого-то разявы спёрли ключ (с виндового ноутбука, кстати!;-), и жулики бросились им подписывать что попало. Поэтому на серверах пришлось ключи править.

Это как-то отменяет сам факт взлома и закидывания троянов в пакеты? Событие CVE-2008-3844 если быть точным.

А «протрояненных пакетов в стандартных репах» как раз таки и не было — это Ваши фантазии.

Ладно, соглашусь с поправкой. "Certain Red Hat Enterprise Linux (RHEL) 4 and 5 packages for OpenSSH, as signed in August 2008 using a legitimate Red Hat GPG key, contain an externally introduced modification (Trojan Horse) that allows the package authors to have an unknown impact. NOTE: since the malicious packages were not distributed from any official Red Hat sources, the scope of this issue is restricted to users who may have obtained these packages through unofficial distribution points. As of 20080827, no unofficial distributions of this software are known." Описалово очень уж уклончивое: в официальные репы не попало, но вот из неофициальных могли к себе и растащить:)

И Вы уж определитесь наконец — линуксоидов всё же «орды» или жалкая кучка (-:

Смотря кого таковыми считать. Если настоящих профессионалов, то их не сильно много. Сидят себе за всякими RHEL и прочими энтерпрайными дистрами, что-то настраивают, что-то на kernel.org кодят и коммитят:) Ну а если приплюсовать школоту, которой мама разрешила бубунту в дуалбут поставить, и от этого факта у них теперь пальцы веером и сопли пузырями — орды точно будут.

Насколько я помню, кроме RedHat благополучно ломали и kernel.org, и debian.org минимум трижды (с подпаданием в шаловливые ручки сервисов cvs, ddtp, lintian, people, popcon, planet, ports и release), и php.net, и багзиллу, и всякие форумы убунты с опенсюзей (форумы не жалко:). Так что надеяться на стопроцентную надёжность стандартных реп я точно бы не стал.