https://twitter.com/MayanEDMS/status/1015807347380416512

Wir nehmen Sicherheit bei DietPi sehr ernst:

Wenn Ansprüche geltend gemacht werden können (die Beweise und sachliche Informationen enthalten), werden wir diese mit höchster Priorität untersuchen und lösen.

Die einzigen Gründe, die ich für diese Person finden kann, diese Behauptung aufzustellen, basieren jedoch auf zwei Kommentaren zu dem Beitrag ohne gültige Beweise oder sachliche Informationen, die sie untermauern ("hier sagen").

Kommentar 1:

Zu LSB:

• Ab DietPi v6.9 werden Benutzer nun aufgefordert, ihre Linux-Passwörter auf dem System zu ändern. Beim 1. Durchlauf oder während des Update-Patches.
• Wir haben noch einige verbleibende Softwareinstallationen (bis dietpi-software ), die unter root laufen. Wir arbeiten daran, um sicherzustellen, dass sie als eigener Benutzer ausgeführt werden (https://github.com/Fourdee/DietPi/issues/1877).
  Unabhängig davon kann dies nur dann ein Sicherheitsproblem darstellen, wenn der Softwaretitel (zB: nextcloud) darin besteht, absichtlich verschiedenen Code in ihr Projekt einzufügen. In diesem Fall würden wir die Öffentlichkeit darauf aufmerksam machen und nextcloud aus unserer Softwaredatenbank entfernen.

Zu den erhobenen Daten:

• Benutzer werden aufgefordert, OPT IN oder OUT zu wählen. Die von uns erhobenen anonymen Daten können hier eingesehen werden: https://dietpi.com/survey/.
• Wenn Sie sich abmelden, wird der Inhalt Ihrer Umfragedatei von unseren Servern gelöscht und enthält keine Informationen.
• Diese Informationen werden nur verwendet, um DietPi zu verbessern, basierend auf der Popularität der installierten Software und der ausgewählten Hardware.
• Der genaue Inhalt der hochgeladenen Datei wird in der Eingabeaufforderung OPT IN/OUT angezeigt (siehe unten)
  

Kommentar 2:

In Bezug auf die genannten Geräte

• Wir unterstützen die genannten Geräte nicht und stellen keine offiziellen Bilder dafür zur Verfügung.
• Zuvor haben wir Images und Support für diese Geräte bereitgestellt, die auf ARMbian liefen. Aus verschiedenen Gründen (einschließlich Instabilität mit ARMbian) haben wir diese Geräte und Images jedoch fallen lassen.

Bezüglich des Überschreibens von Konfigurationsdateien bei Updates

• Ja, das tun wir jedoch nicht blindlings und nur dann, wenn keine andere praktikable Option möglich ist. Wir patchen das System nach Bedarf, um sicherzustellen, dass die System-, DietPi-Programme (und die damit installierte Software) wie vorgesehen funktionieren.
• DietPi unterscheidet sich darin, dass es für den Benutzer entwickelt wurde, um die verfügbaren DietPi-Programme zu verwenden, was die manuelle Bearbeitung von Linux-Dateien überflüssig macht.

In Bezug auf die Unfähigkeit, Änderungen zu prüfen

• Bei signifikanten Patch-Änderungen geben wir dem Benutzer eine Aufforderung, ihn während des Patchens über die Änderungen zu informieren.
• Unsere Patches, die Konfigurationsdateien ändern können, zielen nur auf installierte Software über DietPi und Kernsystemelemente ab, auf deren Funktion DietPi angewiesen ist.
• DietPi ist komplett Open-Source, der Patchcode/Änderungen können immer hier eingesehen werden: https://github.com/Fourdee/DietPi/blob/master/dietpi/patch_file