Les développeurs du projet openSUSE ont annoncé la suppression des packages avec le bureau Deepin du référentiel en raison d'une violation des rÚgles du projet concernant le contrÎle de sécurité des packages hébergés. Il a été découvert que le mainteneur de Deepin a tenté de contourner les directives de révision des paquets d'openSUSE et, sans en informer l'équipe de sécurité, a poussé le paquet « deepin-feature-enable » vers le référentiel. Le package a été publié en avril 2021 et comprenait des fonctionnalités visant à installer des composants supplémentaires qui n'avaient pas été testés et contenaient des problÚmes de sécurité non résolus.
Le package affiche une boĂźte de dialogue permettant Ă lâutilisateur de confirmer son accord avec les termes de la licence. Les conditions stipulaient qu'un certain nombre de composants nĂ©cessaires au bon fonctionnement de Deepin n'Ă©taient pas inclus dans le rĂ©fĂ©rentiel officiel en raison de prĂ©occupations concernant leur sĂ©curitĂ© parmi les dĂ©veloppeurs d'openSUSE. Si l'utilisateur exprimait sa volontĂ© de compromettre la sĂ©curitĂ© et acceptait la licence, des fichiers de configuration D-Bus supplĂ©mentaires et des politiques Polkit Ă©taient dĂ©compressĂ©s dans des rĂ©pertoires systĂšme Ă partir des archives tar incluses dans les packages deepin-daemon-dbus et deepin-daemon-polkit. L'opĂ©ration a Ă©tĂ© rĂ©alisĂ©e en contournant les mĂ©canismes standard d'installation des composants systĂšme fournis par le gestionnaire de packages RPM.
La boßte de dialogue d'acceptation du contrat de licence comprenait également des instructions demandant à l'utilisateur d'installer manuellement les packages depin-file-manager-dbus et deepin-file-manager-polkit, puis d'exécuter un script pour télécharger des fichiers de configuration supplémentaires requis pour le fonctionnement du service Deepin File Manager D-Bus.
Les rĂšgles openSUSE exigent que les responsables installent les fichiers de configuration du service D-Bus et les politiques Polkit uniquement aprĂšs qu'ils ont Ă©tĂ© examinĂ©s pour des raisons de sĂ©curitĂ© par les membres de l'Ă©quipe de sĂ©curitĂ© SUSE et mis sur liste blanche comme composants acceptables. Certains de ces composants Deepin ont Ă©tĂ© testĂ©s et inclus dans les packages standards, mais certains composants ont Ă©tĂ© renvoyĂ©s pour rĂ©vision en raison de problĂšmes de sĂ©curitĂ© identifiĂ©s. Les problĂšmes nâont pas Ă©tĂ© correctement traitĂ©s et les composants souhaitĂ©s nâont pas Ă©tĂ© approuvĂ©s pour inclusion. Au lieu de rĂ©soudre les problĂšmes, le mainteneur de Deepin a poussĂ© les composants problĂ©matiques par un chemin dĂ©tournĂ©.
L'équipe de sécurité SUSE ne recommande pas d'utiliser Deepin pour le moment en raison de problÚmes de sécurité non résolus et de la mauvaise culture de sécurité globale du projet. Tous les packages Deepin seront supprimés du référentiel openSUSE Tumbleweed et ne seront pas inclus dans la prochaine version d'openSUSE Leap 16.0. Dans openSUSE Leap 15.6, il a été décidé de supprimer uniquement le package problématique « deepin-feature-enable ». Les utilisateurs souhaitant installer ou continuer à utiliser Deepin sur openSUSE peuvent toujours installer des packages à partir de référentiels distincts : Deepin Factory pour openSUSE Tumbleweed et Deepin Leap pour openSUSE_Leap.
Source: opennet.ru
