[Problem gelöst] MD5/SHA1-Checksummen / Sicherheitsproblem?
Verfasst: Jul 19th, '11, 09:12Von der Seite
http://www.mageia.org/de/downloads/
gelangt man, will man die "Dual Arch CD" von Mageia 1 herunterladen, ja über einen Hyperlink auf
http://www.mageia.org/de/downloads/dl.p ... d-dualarch
Auf dieser Seite werden auch gleich MD5- bzw. SHA1-Signaturen angeboten. Allerdings stimmen diejenigen auf dieser Seite für die "Dual Arch CD" nicht mit denjenigen auf den Mirrors überein, z.B.
http://ftp-stud.hs-esslingen.de/Mirrors/Mageia/iso/1/
ftp://ftp.mandrivauser.de/mirrors/Mageia/iso/1/
http://ftp5.gwdg.de/pub/linux/mageia/iso/1/
- also den Mirrors, wo ich das mal überprüft habe aus dem Anlass, dass ich die Installations-CD brauchte, weil ich vorhabe, auf einem älteren Desktop-PC Mageia mit einer schlanken Desktopumgebung zu installieren, ähnlich wie es auch einige andere bereits hier im Forum diskutiert haben.
Natürlich entsprechen auch die von mir im Terminal überprüften Checksummen des von mir geladenen Dual-Arch-ISO-CD-Abbildes nicht den Checksummen auf der Mageiaseite sondern eben den Checksummen, die auf den Mirrors ebenfalls als Textdateien (neben den eigentlichen ISOs) angeboten werden; mein Ladevorgang war also fehlerfrei.
Kann das mal bitte jemand überprüfen (oder überhaupt nachvollziehen), oder liegt der Fehler irgendwie bei mir, dass ich da was vertausche oder noch nicht ganz wach bin? Oder war das ein einfacher Fehler, dass etwa veraltete Checksummen von den Betas noch auf der eigentlichen Mageia-Downloadseite stehenblieben, oder besteht gar ein Sicherheitsproblem, wenn ich ggfs. nicht von Mageia selbst erstellte/herausgegebene und daher irgendwie veränderte Installationsimages verwende?
Die Warnmeldung "Verwenden Sie dieses ISO-Abbild nicht, falls die Signaturen nicht übereinstimmen. Vergleichen Sie sie erneut und starten Sie den Download erneut." spricht ja schon für sich...
Die anderssprachigen Versionen dieser Mageia-Downloadseite scheinen übrigens dieselben Checksummen wie die deutschsprachige anzuzeigen:
http://www.mageia.org/fr/downloads/dl.p ... d-dualarch
http://www.mageia.org/en/downloads/dl.p ... d-dualarch
-----
Übrigens, was das Forum betrifft, war ich bei diesem kleinen Beitrag kurzzeitig bereits an einem anderen Limit angelangt: "Dein Beitrag enthält zu viele URLs. Die maximal erlaubte Anzahl von URLs ist 7."
Muss das sein?
[edit: Romain vom "Web design & development & blog"-Team hat diesen Checksummen-Bug heute beseitigt und die Signaturen auf der entsprechenden Website geändert.]
http://www.mageia.org/de/downloads/
gelangt man, will man die "Dual Arch CD" von Mageia 1 herunterladen, ja über einen Hyperlink auf
http://www.mageia.org/de/downloads/dl.p ... d-dualarch
Auf dieser Seite werden auch gleich MD5- bzw. SHA1-Signaturen angeboten. Allerdings stimmen diejenigen auf dieser Seite für die "Dual Arch CD" nicht mit denjenigen auf den Mirrors überein, z.B.
http://ftp-stud.hs-esslingen.de/Mirrors/Mageia/iso/1/
ftp://ftp.mandrivauser.de/mirrors/Mageia/iso/1/
http://ftp5.gwdg.de/pub/linux/mageia/iso/1/
- also den Mirrors, wo ich das mal überprüft habe aus dem Anlass, dass ich die Installations-CD brauchte, weil ich vorhabe, auf einem älteren Desktop-PC Mageia mit einer schlanken Desktopumgebung zu installieren, ähnlich wie es auch einige andere bereits hier im Forum diskutiert haben.
Natürlich entsprechen auch die von mir im Terminal überprüften Checksummen des von mir geladenen Dual-Arch-ISO-CD-Abbildes nicht den Checksummen auf der Mageiaseite sondern eben den Checksummen, die auf den Mirrors ebenfalls als Textdateien (neben den eigentlichen ISOs) angeboten werden; mein Ladevorgang war also fehlerfrei.
Kann das mal bitte jemand überprüfen (oder überhaupt nachvollziehen), oder liegt der Fehler irgendwie bei mir, dass ich da was vertausche oder noch nicht ganz wach bin? Oder war das ein einfacher Fehler, dass etwa veraltete Checksummen von den Betas noch auf der eigentlichen Mageia-Downloadseite stehenblieben, oder besteht gar ein Sicherheitsproblem, wenn ich ggfs. nicht von Mageia selbst erstellte/herausgegebene und daher irgendwie veränderte Installationsimages verwende?
Die Warnmeldung "Verwenden Sie dieses ISO-Abbild nicht, falls die Signaturen nicht übereinstimmen. Vergleichen Sie sie erneut und starten Sie den Download erneut." spricht ja schon für sich...
Die anderssprachigen Versionen dieser Mageia-Downloadseite scheinen übrigens dieselben Checksummen wie die deutschsprachige anzuzeigen:
http://www.mageia.org/fr/downloads/dl.p ... d-dualarch
http://www.mageia.org/en/downloads/dl.p ... d-dualarch
-----
Übrigens, was das Forum betrifft, war ich bei diesem kleinen Beitrag kurzzeitig bereits an einem anderen Limit angelangt: "Dein Beitrag enthält zu viele URLs. Die maximal erlaubte Anzahl von URLs ist 7."
Muss das sein?
[edit: Romain vom "Web design & development & blog"-Team hat diesen Checksummen-Bug heute beseitigt und die Signaturen auf der entsprechenden Website geändert.]