Das Gentoo-Projekt wurde durch Unbekannte von seinen eigenen Seiten auf Github ausgesperrt. Der dort liegende Code wurde anscheinend manipuliert. Die Gentoo-eigene Infrastruktur ist dagegen nicht betroffen und die dort erstellten Pakete sind unversehrt.
besitzt eine Github-Seite, über die ein Spiegel des Paket-Repositoriums bereitgestellt wird. Laut einer
wurde diese Seite am 28. Juni gegen 20:20 UTC gehackt. Unbekannte konnten die Kontrolle über die Github Gentoo-Organisation übernehmen und die Mitglieder des Gentoo-Projekts aussperren. Einige Seiten sowie Inhalte der Repositorien wurden offenbar manipuliert. Gentoo versucht zur Zeit, wieder die Kontrolle über die Seiten zu erlangen.
Jeder Gentoo-Code auf Github muss daher als kompromittiert angesehen werden und sollte auf keinen Fall genutzt werden. Wie das Team erklärt, ist der Code auf Github nur eine Kopie des Codes, der auf der Gentoo-eigenen Infrastruktur gespeichert ist. Die Gentoo-eigene Infrastruktur ist nicht von dem Einbruch betroffen und nach wie vor sicher. Ebenfalls unversehrt sind die Gentoo-Mirror-Repositorien, die ebenfalls auf Github liegen, aber unter einer separaten Organisation. Gentoo spricht hier allerdings mit aller Vorsicht nur von »wahrscheinlich nicht betroffen«.
Alle Commits in die Gentoo-Repositorien sind signiert und es empfiehlt sich grundsätzlich immer, die Integrität der Signaturen zu verifizieren, wenn man Git nutzt, und jetzt erst recht. Weitere Informationen will das Team bereitstellen, sobald sie verfügbar sind.