Github-Repositories der Linux-Distribution gelten als kompromittiert – Paketserver sollen aber sicher sein

Eine Linux-Distribution, bei der die Nutzer sämtliche Pakete direkt aus dem Source Code erstellen: Mit diesem Ansatz ist Gentoo Linux bereits im Jahr 2002 auf der Bühne erschienen, und konnte damit – zumindest anfänglich – viele Fans gewinnen. Die besten Zeiten von Gentoo mögen zwar mittlerweile vorbei sein, und doch wird die Distribution von ihren Entwicklern weiter eifrig gepflegt – zumindest an einer Stelle scheint man nun aber gröber gepatzt zu haben.

Kontrolle

Unbekannte Angreifer konnten am Mittwochabend vorübergehend die Kontrolle der von Gentoo genutzten Github-Repositories übernehmen. Insofern müsse man sämtlichen dort gehosteten Code als kompromittiert ansehen, warnen die Entwickler in einer Mitteilung. Dabei handelt es sich auch keineswegs bloß um einen übervorsichtigen Hinweis, es wurden offenbar mehrere zahlreiche Modifikationen am gehosteten Code vorgenommen, die Untersuchung läuft derzeit aber noch.

Trennung

Allerdings gibt es auch gute Nachrichten für die Nutzer der Distribution: Die Paketserver von Gentoo sollen von diesem Vorfall nämlich nicht betroffen sein: Diese laufen nicht nur separat von dem betroffenen Github-Account, sämtliche Pakete sind zudem digital signiert, was jegliche Manipulation verhindern soll.

Das Gentoo-Projekt verspricht in Kürze weitere Informationen zu dem Vorfall zu liefern. (apo, 29.6.2018)