Разработчики популярного дистрибутива Linux openSUSE приняли решение исключить окружение рабочего стола Deepin (DDE) из своих репозиториев сообщества. Причинами стали проблемы с безопасностью, несоответствия в поддержке пакетов и неоднократные нарушения политик безопасности и упаковки openSUSE.
OpenSUSE, известный своей стабильностью и широкими возможностями настройки, долгое время предоставлял пользователям доступ к рабочему окружению Deepin Desktop Environment через репозитории сообщества. DDE привлекал определенную базу пользователей современным дизайном и некоторыми инновационными функциями. Однако, дальнейшая поддержка данного окружения в рамках openSUSE прекращена.
Хронология проблем и принятые меры
Решение об удалении, анонсированное разработчиками openSUSE, стало следствием накопившихся инцидентов. Ключевыми факторами послужили серьезные уязвимости в компонентах D-Bus и Polkit (PolicyKit) рабочего стола Deepin. Ситуация усугублялась повторяющимися нарушениями процедур проверки безопасности и правил формирования пакетов, установленных в openSUSE.
Особое внимание привлек случай 2021 года, когда один из мейнтейнеров Deepin Desktop несанкционированно внедрил в openSUSE пакет под названием deepin-feature-enable.Данный пакет реализует диалоговое окно лицензионного соглашения. В случае принятия пользователем условий соглашения, пакет автоматически извлекал и устанавливал в систему непроверенные конфигурационные файлы D-Bus и политики Polkit. Этот процесс полностью обходил процедуры проверки безопасности и формирования белого списка в openSUSE.
Проблемы с безопасностью Deepin Desktop в openSUSE возникали и ранее:
- В 2017 году была выявлена уязвимость, позволявшая любому пользователю олицетворять службу D-Bus файлового менеджера.
- В 2019 году любой пользователь мог без ограничений регистрировать службу D-Bus.
- В 2023 году были обнаружены недостатки безопасности, допускавшие загрузку небезопасных конфигурационных файлов.
Последствия для пользователей openSUSE
Для пользователей дистрибутива openSUSE Leap 15.6 пакет deepin-feature-enable будет удален, однако остальные пакеты Deepin останутся в системе, хотя их дальнейшая поддержка не гарантируется. В то же время, новые выпуски openSUSE Tumbleweed и предстоящий релиз openSUSE Leap 16.0 более не будут включать какие-либо пакеты, связанные с Deepin Desktop.
Несмотря на сложившуюся ситуацию, разработчики openSUSE формально не запрещают пользователям устанавливать Deepin Desktop из сторонних источников. Однако они настоятельно не рекомендуют этого делать и подчеркивают, что вся ответственность за доверие и использование любых пакетов Deepin Desktop ложится исключительно на самих пользователей.
По мнению экспертов, сложившаяся ситуация является результатом действий самих мейнтейнеров Deepin Desktop, которые не смогли обеспечить должный уровень поддержки и безопасности своих пакетов в экосистеме openSUSE, что и привело к прекращению их официальной интеграции.
Linux: обзоры и обновления
• openSUSE исключает Deepin Desktop из репозиториев из-за критических проблем с безопасностью
• Что известно о Linux Mint 22.2 «Zara»: обновление Mint-Y и совместимость с libAdwaita
• Proton Experimental для Linux и Steam Deck получил исправления для Clair Obscur: Expedition 33, Space Engineers и других игр
• SteamOS 3.7.5 для Steam Deck доступен на Бета-канале — Plasma 6, ядро Linux 6.11 и задел для поддержки других портативных устройств
• Fedora Linux доступен в WSL: Microsoft официально добавила поддержку дистрибутива
• KDE Plasma 6.3.5: Финальное обновление серии с исправлениями ошибок