Rok temu konflikt między deweloperami Debiana a Christianem Marillatem, prowadzącym debian-multimedia.org, o podmienianie oryginalnych bibliotek przez pakiety z nieoficjalnego repozytorium, osiągnął apogeum. Ostatecznie Marillat zgodził się na zmianę adresu repozytorium na niezawierający zarejestrowanego znaku towarowego należącego do Projektu. Jednocześnie, jak wyjaśnia Lucas Nussbaum w najnowszej porcji wieści od DPL, Projekt Debian zaoferował się w poniesieniu kosztów utrzymania starej domeny — aby nie dostała się ona w niepowołane ręce. Marillat postanowił jednak nie współpracować z Debianem i pozwolił domenie wygasnąć.

Teraz została ona przejęta przez cybersquattera, który wg danych z whois pochodzi z Ukrainy i posiada około 2000 domen. Obecnie pod adresem pokazuje się rosyjskojęzyczny serwis poświęcony motocyklom (nie zachęcamy do sprawdzania, nie ma sensu nabijać wejścia). Na szczęście na razie katalogi charakterystyczne dla repozytoriów pakietów zwracają kod 404 — jednak nie wiadomo czy cyberprzestępcy nie zechcą w przyszłości wykorzystać tego adresu do infekowania systemów użytkowników Debiana.

W tym miejscu należy przypomnieć, że APT sprawdza podpisy cyfrowe pakietów i ostrzega administratora przed instalacją podejrzanego oprogramowania, którego podpisu nie ma w bazie kluczy GPG menedżera pakietów. A tu z kolei należy uczulić administratorów na bezrefleksyjne dodawanie podpisów! Błąd podpisu to nie jest zwykły błąd, który można łatwo „naprawić” dodając nowy klucz, tylko sygnał od systemu, że coś może być nie tak z repozytorium.

Co dalej?

Przede wszystkim użytkownicy Debiana powinni sprawdzić, czy nie posiadają przypadkiem w sources.list adresu debian-multimedia.org. Najprościej to zrobić wykonując:

grep debian-multimedia.org /etc/apt/sources.list /etc/apt/sources.list.d/*

Jeśli w wyniku będzie obecny wpis do repozytorium, to należy go koniecznie usunąć! Aktualnym adresem, pod którym jest ono dostępne, jest deb-multimedia.org — przykładowo dla stabilnej gałęzi wpis wygląda następująco:

## deb-multimedia - dodatkowe kodeki, odtwarzacze, etc.
deb http://www.deb-multimedia.org/ stable main non-free

Warto również rozważyć czy to repozytorium rzeczywiście jest potrzebne — najnowsze wydanie Wheezy posiada już praktycznie wszystkie pakiety związane z multimediami.

A jeśli w domenie debian-multimedia.org pojawi się jakakolwiek złośliwa zawartość, można spodziewać się, że Projekt Debian wystąpi o przejęcie domeny naruszającej należący do niej znak towarowy. Nawet wtedy trzeba jednak mieć na uwadze, że procedura ta może potrwać.