В openSUSE исключили из дистрибутива графическую оболочку Deepin Desktop Environment (DDE) по соображениям безопасности

Команда разработчиков openSUSE исключила из своего дистрибутива графическую оболочку Deepin Desktop Environment (DDE) по соображениям безопасности.

Разработчики проекта openSUSE выявили, что сопровождающий Deepin попытался обойти принятые в openSUSE правила рецензирования пакетов и, не уведомив команду, отвечающую за безопасность, разместил в репозитории пакет deepin-feature-enable. Этот пакет был размещён в апреле 2021 года и включал функциональность, нацеленную на установку дополнительных компонентов, не прошедших проверку и содержащих неустранённые проблемы с безопасностью.

По информации OpenNET, пакет deepin-feature-enable осуществлял вывод диалога для подтверждения пользователем согласия с условиями лицензии. В его условиях было сказано, что ряд компонентов, необходимых для корректной работы Deepin, не включён в официальный репозиторий из‑за сомнений в их безопасности у разработчиков openSUSE. Если пользователь выразил готовность пойти на снижение безопасности и согласился с лицензией, осуществлялась распаковка в системные каталоги дополнительных файлов конфигурации D‑Bus и политик Polkit из tar‑архивов, включённых в состав пакетов deepin‑daemon‑dbus и deepin‑daemon‑polkit. Операция выполнялась в обход штатных механизмов установки системных компонентов, предоставляемых пакетным менеджером RPM.

В диалоге принятия лицензионного соглашения deepin-feature-enable также приводилась инструкция, предлагающая пользователю вручную установить пакеты depin‑file‑manager‑dbus и deepin‑file‑manager‑polkit, после чего запустить скрипт для загрузки дополнительных файлов конфигурации, необходимых для работы сервиса Deepin File Manager D‑Bus.

Правила openSUSE предписывают сопровождающим устанавливать файлы конфигурации сервисов D‑Bus