Разработчики популярного дистрибутива Linux openSUSE приняли решение исключить окружение рабочего стола Deepin (DDE) из своих репозиториев сообщества. Причинами стали проблемы с безопасностью, несоответствия в поддержке пакетов и неоднократные нарушения политик безопасности и упаковки openSUSE.
OpenSUSE, известный своей стабильностью и широкими возможностями настройки, долгое время предоставлял пользователям доступ к рабочему окружению Deepin Desktop Environment через репозитории сообщества. DDE привлекал определенную базу пользователей современным дизайном и некоторыми инновационными функциями. Однако, дальнейшая поддержка данного окружения в рамках openSUSE прекращена.
Хронология проблем и принятые меры
Решение об удалении, анонсированное разработчиками openSUSE, стало следствием накопившихся инцидентов. Ключевыми факторами послужили серьезные уязвимости в компонентах D-Bus и Polkit (PolicyKit) рабочего стола Deepin. Ситуация усугублялась повторяющимися нарушениями процедур проверки безопасности и правил формирования пакетов, установленных в openSUSE.
Особое внимание привлек случай 2021 года, когда один из мейнтейнеров Deepin Desktop несанкционированно внедрил в openSUSE пакет под названием deepin-feature-enable.Данный пакет реализует диалоговое окно лицензионного соглашения. В случае принятия пользователем условий соглашения, пакет автоматически извлекал и устанавливал в систему непроверенные конфигурационные файлы D-Bus и политики Polkit. Этот процесс полностью обходил процедуры проверки безопасности и формирования белого списка в openSUSE.
Проблемы с безопасностью Deepin Desktop в openSUSE возникали и ранее:
- В 2017 году была выявлена уязвимость, позволявшая любому пользователю олицетворять службу D-Bus файлового менеджера.
- В 2019 году любой пользователь мог без ограничений регистрировать службу D-Bus.
- В 2023 году были обнаружены недостатки безопасности, допускавшие загрузку небезопасных конфигурационных файлов.
Последствия для пользователей openSUSE
Для пользователей дистрибутива openSUSE Leap 15.6 пакет deepin-feature-enable будет удален, однако остальные пакеты Deepin останутся в системе, хотя их дальнейшая поддержка не гарантируется. В то же время, новые выпуски openSUSE Tumbleweed и предстоящий релиз openSUSE Leap 16.0 более не будут включать какие-либо пакеты, связанные с Deepin Desktop.
Несмотря на сложившуюся ситуацию, разработчики openSUSE формально не запрещают пользователям устанавливать Deepin Desktop из сторонних источников. Однако они настоятельно не рекомендуют этого делать и подчеркивают, что вся ответственность за доверие и использование любых пакетов Deepin Desktop ложится исключительно на самих пользователей.
По мнению экспертов, сложившаяся ситуация является результатом действий самих мейнтейнеров Deepin Desktop, которые не смогли обеспечить должный уровень поддержки и безопасности своих пакетов в экосистеме openSUSE, что и привело к прекращению их официальной интеграции.
Linux: обзоры и обновления
• Proton 10.0-2 RC: Valve выпустила релиз-кандидат слоя совместимости для Windows-игр на Linux, SteamOS и Steam Deck
• HP ZBook Ultra G1a: Ubuntu 25.04 против Windows 11 Pro на AMD Strix Halo
• VacuumTube — лучший способ смотреть YouTube на Steam Deck и SteamOS
• SteamOS 3.7.10 Beta: обновление с улучшениями для Wi-Fi, звука, доступности и сторонних устройств AYANEO, AYN, MSI и других
• Steam Beta для Linux включает Proton по умолчанию — теперь запуск Windows-игр стал проще
• Драйверы NVIDIA Graphics Driver 575.64 и 570.169 для Linux доступны с важными исправлениями