Az openSUSE eltávolította a Deepin asztali környezetet biztonsági aggályok miatt

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

Beküldte balacy -

A Deepin Desktop Environment (DDE) többé nem elérhető az openSUSE közösségi tárolóiban. A döntés mögött komoly karbantartási és biztonsági problémák állnak.

Az openSUSE az egyik legnépszerűbb Linux disztribúció azok számára, akik nem az Ubuntu vagy a Fedora útját választják. A disztribúciót egy aktív közösség fejleszti, és a német SUSE vállalat támogatja, amely nyílt forráskódú megoldásokra specializálódott.

Korábban az openSUSE felhasználók a közösségi tárolókból egyszerűen telepíthették a látványos és modern felületet kínáló Deepin asztali környezetet (DDE). Ez azonban mostantól megszűnik.

Mi történt?

Két nappal ezelőtt az openSUSE fejlesztői bejelentették, hogy eltávolítják a Deepin Desktop Environment csomagjait a közösségi tárolókból. A döntés hátterében karbantartási hiányosságok és komoly biztonsági problémák állnak.

A fő gondokat a Deepin D-Bus és Polkit (PolicyKit) komponenseiben talált súlyos sebezhetőségek okozták, amelyeket ráadásul ismételt szabályszegések kísértek az openSUSE biztonsági ellenőrzési és csomagolási eljárásaival szemben.

A végső csepp a pohárban: a "deepin-feature-enable" csomag

2021-ben az egyik Deepin-karbantartó csendben bejuttatott egy csomagot az openSUSE tárolóiba, amelynek neve: deepin-feature-enable.

Ez a csomag egy licencszerződést jelenít meg, amelynek elfogadása után automatikusan telepít nem ellenőrzött D-Bus konfigurációkat és Polkit-szabályokat a rendszerbe – megkerülve ezzel az openSUSE hivatalos biztonsági ellenőrzési és jóváhagyási folyamatát.

Ez súlyos szabályszegésnek minősül, mivel rendszerszintű módosításokat hajt végre ellenőrizetlen forrásból, ami sérti a felhasználók biztonságát és az openSUSE irányelveit.

Nem ez az első probléma

Az openSUSE már korábban is tapasztalt problémákat a Deepin-nel:

  • 2017-ben a fájlkezelő D-Bus szolgáltatását bármely felhasználó megszemélyesíthette.
  • 2019-ben bármely felhasználó korlátozás nélkül regisztrálhatott D-Bus szolgáltatást.
  • 2023-ban olyan biztonsági hibák kerültek elő, amelyek lehetővé tették nem biztonságos konfigurációs fájlok betöltését.

Mi várható a felhasználók számára?

  • Az openSUSE Leap 15.6 rendszeren a deepin-feature-enable csomagot eltávolítják, de a többi Deepin-csomag egyelőre marad.
  • A Tumbleweed és a közelgő openSUSE Leap 16.0 verziók már nem tartalmaznak semmilyen Deepin-hez kapcsolódó csomagot.

Bár a fejlesztők nem zárják ki, hogy a felhasználók saját felelősségükre telepítsenek Deepin-t más forrásból, határozottan nem ajánlják ezt, és felelősségkizárást is mellékelnek: a felhasználók saját kockázatukra használják a Deepin csomagokat.

Vélemény

Az írás szerzője így fogalmaz: „Ez olyan, mint egy hajó, amelyet belülről lőttek szét a saját ágyúi.” Vagyis a Deepin fejlesztőinek figyelmetlensége és szabályszegései okozták, hogy az openSUSE végleg hátat fordított ennek az asztali környezetnek.

Fogalommagyarázat

  • Deepin Desktop Environment (DDE): Egy modern, esztétikus asztali környezet, eredetileg a Deepin Linux disztribúció részeként fejlesztve. Népszerűsége főként a látványos megjelenésének köszönhető.
  • D-Bus: Egy rendszerfolyamatok közötti kommunikációt biztosító mechanizmus Linuxon.
  • Polkit (PolicyKit): Jogosultságkezelő rendszer Linux alatt, amely ellenőrzi, hogy egy folyamat végezhet-e adminisztrátori jogosultságokat igénylő műveletet.
  • Tumbleweed: Az openSUSE gördülő kiadása, amely folyamatos frissítéseket kap.
  • Leap: Az openSUSE stabil, kiadásokhoz kötött verziója, hosszabb támogatási ciklussal.