
<br><br>On Wednesday, October 21, 2020, Jeremy Stanley <<a href="mailto:fungi@yuggoth.org" target="_blank">fungi@yuggoth.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2020-10-21 15:02:54 +0300 (+0300), Marios Andreou wrote:<br>

[...]<br>

> I don't think we need to worry that it was 'one of our accounts'<br>

> that was compromised, at least I expect we would have known by now<br>

> if there was any indication that this is the case.<br>

> <br>

> The main concern is if the compromised admin account made any<br>

> commits at all. So the immediate check is to make sure that all<br>

> those commits were in fact merged by 'one of us' and not by any<br>

> unknown account.<br>

[...]<br>

<br>

Not quite. The main concern is that the attacker had access (via an<br>

account in Gerrit's Administrators group) to add their own SSH key<br>

or view/add/change the REST API key for any user of the service, so<br>

could in theory have proposed a change masquerading as a regular<br>

member of your team, +2'd it as another member of your team, and<br>

approved it as yet a third member of your team, without necessarily<br>

raising suspicion. While we consider this unlikely, it was entirely<br>

possible for the first few weeks of this month.<br>

<br>

Per my other reply on this thread, we already checked that every<br>

commit corresponds to a change in Gerrit, so it should be sufficient<br>

to just skim the last few week's changes and make sure you remember<br>

reviewing/approving them.</blockquote><div><br></div><div>I see.... hm potentially much more malicious than I thought then. Thanks for the clarification - I've mainly been checking that the merges were from known tripleo cores. </div><div><br></div><div>Rather it should be that each core should check the reviews merged by their account ID and make sure it corresponds to a valid +A that they (possibly) recall doing.</div><div><br></div><div>I think we should be mostly done for tripleo ... my original list at <a href="https://gist.github.com/marios/d1b774c827769373b67d3988105140dd">https://gist.github.com/marios/d1b774c827769373b67d3988105140dd</a> contains duplicates as i found so far and I know a number of folks have jumped in and started checking today. Thanks to everyone for doing that</div><div><br></div><div>thanks again Jeremy for clarifying what we should focus on</div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

-- <br>

Jeremy Stanley<br>

</blockquote>

<br><br>-- <br>_sent from my mobile - sorry for spacing spelling etc_<br>