Разработчики популярного дистрибутива Linux openSUSE приняли решение исключить окружение рабочего стола Deepin (DDE) из своих репозиториев сообщества. Причинами стали проблемы с безопасностью, несоответствия в поддержке пакетов и неоднократные нарушения политик безопасности и упаковки openSUSE.
OpenSUSE, известный своей стабильностью и широкими возможностями настройки, долгое время предоставлял пользователям доступ к рабочему окружению Deepin Desktop Environment через репозитории сообщества. DDE привлекал определенную базу пользователей современным дизайном и некоторыми инновационными функциями. Однако, дальнейшая поддержка данного окружения в рамках openSUSE прекращена.
Хронология проблем и принятые меры
Решение об удалении, анонсированное разработчиками openSUSE, стало следствием накопившихся инцидентов. Ключевыми факторами послужили серьезные уязвимости в компонентах D-Bus и Polkit (PolicyKit) рабочего стола Deepin. Ситуация усугублялась повторяющимися нарушениями процедур проверки безопасности и правил формирования пакетов, установленных в openSUSE.
Особое внимание привлек случай 2021 года, когда один из мейнтейнеров Deepin Desktop несанкционированно внедрил в openSUSE пакет под названием deepin-feature-enable.Данный пакет реализует диалоговое окно лицензионного соглашения. В случае принятия пользователем условий соглашения, пакет автоматически извлекал и устанавливал в систему непроверенные конфигурационные файлы D-Bus и политики Polkit. Этот процесс полностью обходил процедуры проверки безопасности и формирования белого списка в openSUSE.
Проблемы с безопасностью Deepin Desktop в openSUSE возникали и ранее:
- В 2017 году была выявлена уязвимость, позволявшая любому пользователю олицетворять службу D-Bus файлового менеджера.
- В 2019 году любой пользователь мог без ограничений регистрировать службу D-Bus.
- В 2023 году были обнаружены недостатки безопасности, допускавшие загрузку небезопасных конфигурационных файлов.
Последствия для пользователей openSUSE
Для пользователей дистрибутива openSUSE Leap 15.6 пакет deepin-feature-enable будет удален, однако остальные пакеты Deepin останутся в системе, хотя их дальнейшая поддержка не гарантируется. В то же время, новые выпуски openSUSE Tumbleweed и предстоящий релиз openSUSE Leap 16.0 более не будут включать какие-либо пакеты, связанные с Deepin Desktop.
Несмотря на сложившуюся ситуацию, разработчики openSUSE формально не запрещают пользователям устанавливать Deepin Desktop из сторонних источников. Однако они настоятельно не рекомендуют этого делать и подчеркивают, что вся ответственность за доверие и использование любых пакетов Deepin Desktop ложится исключительно на самих пользователей.
По мнению экспертов, сложившаяся ситуация является результатом действий самих мейнтейнеров Deepin Desktop, которые не смогли обеспечить должный уровень поддержки и безопасности своих пакетов в экосистеме openSUSE, что и привело к прекращению их официальной интеграции.
Linux: обзоры и обновления
• Debian 13.4 «Trixie»: 111 исправлений ошибок и 67 патчей безопасности
• Обзор обновлений GNOME за 6–13 марта: релиз менеджера «Файлы» 50, библиотеки Libadwaita 1.9 и плеера Vinyl
• Вышло обновление Proton Experimental от 13 марта: исправления для HELLDIVERS 2 и Cyberpunk 2077
• Новости разработки KDE Plasma за 7 – 14 марта: ввод альтернативных символов удержанием клавиш в версии 6.7
• Раскол в Manjaro Linux: проект переходит под контроль сообщества
• Проблемы безопасности Deepin Desktop Environment: история уязвимостей и фоновые трекеры