Distribuerer software til Linux uden signatur: »Slack tager sikkerhed meget seriøst«

Linux-software til Slack bliver distribueret uden signatur, hvilket kan åbne for angreb.

Samarbejds-softwaren Slack udkommer også til flere Linux-distributioner. The Register har i den forbindelse noteret sig, at softwaren til RPM-systemer som RedHat/CentOS/Fedora ikke er signerede digitalt, hvilket går mod best practice, bemærker mediet.

Fraværet af en digital signatur gør det vanskeligt for brugere at verificere, hvorvidt det nu også er den rigtige software, der er ved at blive installeret. (Som sagen med CCleaner viser, så kan korrekt signeret software også godt være ondsindet.)

Hvorom alting er, så blev The Register opmærksom på problemet på samme måde, som Version2 ofte bliver opmærksom på problemer i it-verdenen, nemlig via en læser-henvendelse.

Trevor Hemsley havde gjort Slack opmærksom på den manglende signatur tilbage i august, men da intet er sket på den front, har han rettet henvendelse til det britiske medie.

Læs også: CCleaner-angreb var målrettet teknologivirksomheder

»Slack distribuerer Linux-pakker til deres app, og disse pakker kommer fra et yum-repository, som ikke har en GPG-nøgle og er ikke signerede,« forklarer Hemsley til The Register og fortsætter:

»Det betyder, at enhver, som har installeret Slack på et RPM-baseret Linux-system, i praksis har givet root-adgang til pakker, som indeholder ukendt og ikke-verificeret indhold.«

The Register har været i kontakt med Slacks PR-hold, der indleder på samme måde, som mange andre organisationer gør det, når der viser sig at være problemer med it-sikkerheden:

»Slack tager sikkerhed meget seriøst, og vi leder konstant efter måder at forbedre os på,« lyder svaret, der herefter fortsætter med at adressere den manglende signering af Linux-filerne:

»Dette er virkelig noget, vi arbejder på. Det har været på vores roadmap i noget tid, og det kommer meget snart.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere