Debian-Anwender sollten Multimedia-Repository entfernen
Das Debian Publicity Team empfiehlt allen Nutzern, das frühere inoffizielle Multimedia-Repository aus den Paketlisten zu entfernen: Ein Fremder hat die Domain übernommen.
Debian-Anwender, die früher das inoffizielle Multimedia-Repository debian-multimedia.org verwendet haben, sollten kontrollieren, ob diese Domain noch immer von der Paketverwaltung abgefragt wird. Falls ja, sollte man das Repository entfernen, rät das Debian Publicity Team.
Hintergrund der Empfehlung ist, dass inzwischen ein Fremder die Domain debian-multimedia.org registriert hat, da der frühere Inhaber nach Angaben von Debian-Projektleiter Nussbaum nicht mit dem Debian-Projekt kooperierte und die Domain frei gab, anstatt sie auf das Debian-Projekt zu übertragen.
Der folgende Shell-Befehl, einzugeben als Root-Benutzer im Terminal, entfernt etwaige Einträge von debian-multimedia.org aus den Paketquellen:
find /etc/apt -type f -name "*.list" \
-exec sed -i -e '/deb.*debian-multimedia\.org/d' {} \;
Nach der Eingabe von "apt-get update" werden die Änderungen in die Paketdatenbank übernommen und Debian wird künftig nicht mehr auf das alte Multimedia-Repository zugreifen.
Der Vorfall ist insofern unschön, als dass der neue Domain-Inhaber Debian-Anwendern ein gefälschtes Repository unterschieben könnte. Ohne die früheren Signaturschlüssel würden die APT-Tools jedoch warnen, dass man sich aus einem nicht vertrauenswürdigen Repository bedient, sodass ein Anwender explizit zustimmen müsste, um ein nicht signiertes Paket zu installieren. Eine akute Gefahr, unbemerkt gefälschte Pakete untergeschoben zu bekommen, besteht also nicht. Der Vorfall zeigt aber, wie wichtig signierte Paketlisten und Pakete sind. (mid)
