<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr">On Wed, Aug 22, 2018, 11:15 PM David O'Shaughnessy <<a href="mailto:lists@osh.id.au" target="_blank" rel="noreferrer">lists@osh.id.au</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">For an<br>
attacker to change the upstream source archive without changing the MD5<br>
requires a 2nd preimage attack, which as far as I understand is not<br>
computationally feasible at present. This is different to a much simpler<br>
collision attack, where the attacker generates two _new_ archives with<br>
new (and matching) MD5s.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">The download files do not necessarily have to be tar archives, and in some cases (generally those with multiple download files and therefore multiple checksums), individual files can be included for download. Intentional PDF collisions have been around for ages (see <a href="https://www.mscs.dal.ca/~selinger/md5collision/" target="_blank" rel="noreferrer">https://www.mscs.dal.ca/~selinger/md5collision/</a> ), so if a SlackBuild includes some documentation as a download link, and the upstream server has since been compromised, a user could definitely be stuck with a malicious file even if the SlackBuild maintainer did everything right and verified upstream signatures. It is probably more difficult to generate tarballs with collisions but I'm guessing it isn't quite as difficult as we're pretending it is, and it's irrelevant since unzipped files can be passed as download links.</div><div dir="auto"><br></div><div dir="auto">Simply put, this is bad security. Anyone who disagrees doesn't understand the problem. Can't we just add an optional sha256sum in the .info file and maintainers can gradually add these checksums to their SlackBuilds, targeting some point in the future that these fields will be required (and possibly the md5s retired)?</div><div dir="auto"><br></div><div dir="auto">-T3slider</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>