--509c3f1e_4ad3afd2_40c
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

So sorry for the continual delay. I'm setting this up right now but it appears that I (evanphx on github) don't have access to push to ruby/ruby. When I am added, I can update the repo immediately.  

--  
Evan Phoenix // evan / phx.io


On Monday, November 5, 2012 at 11:45 AM, shyouhei (Shyouhei Urabe) wrote:>  
> Issue #7085 has been updated by shyouhei (Shyouhei Urabe).
>  
>  
> It's now r37483. As another (or two) manual sync might happen you should find the latest repo-dump by the mtime field from:
>  
> ftp://ftp.ruby-lang.org/pub/incoming/
> ----------------------------------------
> Bug #7085: Subversion GitHub gateway stops.
> https://bugs.ruby-lang.org/issues/7085#change-32457
>  
> Author: shyouhei (Shyouhei Urabe)
> Status: Assigned
> Priority: Immediate
> Assignee: ephoenix (Evan Phoenix)
> Category: Project
> Target version: 2.0.0
> ruby -v: not version dependent
>  
>  
> Abstract: Sorry for your inconvenience. Due to my resigning job
> at netlab.jp (http://netlab.jp), the Subversion to GitHub gateway stopsow. The
> gateway was located there, maintained by me.
>  
> Biggest problem to reboot the gateway is its ssh private keys. it
> first ssh into the canonical svn server to pull the repo, then ssh
> into github to push it. Both ssh sessions need private keys and
> as the gateway runs totally automatic using cron, those keys are
> not passphrased.
>  
> Ruby's canonical repo has once been cracked. GitHub also had
> vulnerability before. Leaking these keys is a serious threat
> against our project. A malicious codes can be injected by using
> (either of) them.
>  
> So sorry, I don't want to put these keys on any VPS, IaaS, or
> colocations or anything like that. Doing so is in fact easy, and
> makes the gateway working again, but will introduce a huge
> security threat.
>  
> In order to properly fix this sitution, a RELIABLE place is
> mandatory, where no access is possible from the internet, yet the
> gateway itself can connect to ruby-lang.org (http://ruby-lang.org) and github.com (http://github.com).
> Normal company intranets behind NATs should suffice, like
> netlab.jp (http://netlab.jp) was, Though I doubt a "normal" companyntranet will not
> welcome a black box like the gateway.
>  
> =========
>  
> Githubゲートウエイは卜部離職に伴い停止しております。現在のところ復
> 旧の見込みはございません。このようなアナウンスが事後になってしまいE3∪縺励◆縺薙→繧呈キア縺上♀隧ォ縺ウ逕ウ縺嶺ク翫£縺セ縺吶譬屓縺励′雜j縺↑縺上※縺斐a繧薙↑縺髭3>縲>  
> github吾蚊$B%r(c!"/d.c-c%/'c%C
> 祚磴罎礒磧祿礇сE3◎縺ョ螳滓諷瓮NaCl譚ア莠ャ謾ッ遉セ縺ョ蜊憺Κ蟶ュ縺ォ險ュ鄂ョ縺励※縺ゅ▲縺溷骨驛ィ遘∫黄險育ョ玲ゥ溘域坤繞瓮
> 蜍輔>縺ヲ縺紜舌疥紜≦爐誦わ瓮縺ォ髫帙@縺薙稲育ョ玲ゥ溘演痍茱紂帙瓮艾佐腑景紂迢虔紂粤瓮糸疥紜≦爐紂縺ョE3◆繧√し繝シ繝薙せ繧ょキサ縺肴キサ縺医〒蛛懈ュ「縺励◆縺ィ縺紂肛拭帙瓮≦痃
>  
> 蠕立縺圀縺励※蝠城縺↑繧九医sh骰〒縺吶仕組み上、ゲートウエイマシン
> はrubyのsvnサーバにsshしてデータを取得した後、次にはgithubにsshし
> てデータを更新する必要があり、それをcronで回す関係上、どちらで使う
> 秘密鍵も、ゲートウエイマシン上に、パスフレーズなしで存在している必E8縺後≠繧翫∪縺吶
>  
> Ruby縺Ξ繝昴ず繝医Μ縺怨皃繝紊怨疂紕跂痾芬此跂瓩紕裙瓠縲ithubにも脆弱性
> を突かれた実績があります。したがって、これらのパスフレーズのない
> ssh鍵が流出するのはかなり危険です。どちらの鍵が流出しても、Rubyの
> ソースコードに悪意ある改変を加えることが可能になります。私としてはE3%縺ョ骰オ繧定蛻紜溢亜m隱罐九↓縺ェ縺螢0薀舂茱マ紜險ュ鄂ョ縺励◆縺上≠繧翫∪縺帙s縲ゅ←縺薙°縺ョ
> VPS縺ェ縺ゥ繧貞りてスクリプトを動かせば、数分から数時間程度でゲートウ
> エイを移築できることは確認済みですが、その確認の際にも確認にはssh
> agent forwardingを用いました。
>  
> こういった理由により今すぐにgithubとの同期を復旧するのはなかなかに
> 困難です。いや、正確に言うのであれば、べつに技術的な困難はないのだE3′縲√◎繧後r繧紕諷瓮e皀球皀繞磧繝ェ繝紊ヨ佐紜磯腑蠢オ縺後≠繧九蟆代↑縺上→繧ょ驛う繝ち繝3ロ繝絅蓍瓮縺九i縺ョ繧「繧ッ繧サ繧ケ縺後〒縺阪↑縺ruby-lang.org (http://ruby-lang.org)> github.com (http://github.com)吾潟礇с宍)$B<c%C'c腮墾篆♂ ケ$B(-g=.c=j!"$KAjEv$9$k>l=j$rC5$9I,MW$,$"$kE3→縺紂胛崎ュ倥〒縺翫j縺セ縺吶縺▽縺勸騾壹域匠蒹瘟罟絅辣礒絅蒹礒上癶讒九o縺>E3→諤昴>縺セ縺吶′縲√◎縺薙↓遉セ讌ュ縺ィ髢「菫ゅ↑縺螢0薀舂茱マ紕鴃ュ鄂ョ縺吶k譏ッ髱槭〒縺吶h縺ュ縲>  
>  
> --  
> http://bugs.ruby-lang.org/
>  
>  



--509c3f1e_4ad3afd2_40c
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline


                <div>
                    So sorry for the continual delay. I'm setting this upight now but it appears that I (evanphx on github) don't have access toush to ruby/ruby. When I am added, I can update the repo immediately.
                </div>
                <div><div><br></div><div>--&nbsp;</div><div>Evan Phoenix // evan / phx.io</div><div><br></div></div>
                 
                <p style="color: #A0A0A8;">On Monday, November 5,012 at 11:45 AM, shyouhei (Shyouhei Urabe) wrote:</p>
                <blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div><div><div><br></div><div>Issue #7085 haseen updated by shyouhei (Shyouhei Urabe).</div><div><br></div><div><br></div><div>It's now r37483.  As another (or two) manual sync might happenou should find the latest repo-dump by the mtime field from:</div><div><br></div><div>ftp://ftp.ruby-lang.org/pub/incoming/</div><div>----------------------------------------</div><div>Bug #7085: Subversion GitHub gateway stops.</div><div>https://bugs.ruby-lang.org/issues/7085#change-32457</div><div><br></div><div>Author: shyouhei (Shyouhei Urabe)</div><div>Status: Assigned</div><div>Priority: Immediate</div><div>Assignee: ephoenix (Evan Phoenix)</div><div>Category: Project</div><div>Target version: 2.0.0</div><div>ruby -v: not version dependent</div><div><br></div><div><br></div><div>Abstract: Sorry  for your inconvenience.  Due to  my resigning job</div><div>at  netlab.jp, the Subversion  to GitHub  gateway stops  now.  The</div><div>gateway was located there, maintained by me.</div><div><br></div><div>Biggest problem to reboot the gateway is its ssh private keys.  it</div><div>first ssh into the canonical svn server to pull the repo, then ssh</div><div>into github to  push it.  Both ssh sessions  need private keys and</div><div>as the gateway  runs totally automatic using cron,  those keys are</div><div>not passphrased.</div><div><br></div><div>Ruby's  canonical repo  has once  been cracked.   GitHub  also had</div><div>vulnerability  before.  Leaking hese  keys is  a serious  threat</div><div>against our  project. A malicious  codes can be injected  by using</div><div>(either of) them.</div><div><br></div><div>So sorry,  I don't  want to put  these keys  on any VPS,  IaaS, or</div><div>colocations or anything like that.   Doing so is in fact easy, and</div><div>makes  the  gateway  working  again,  but willintroduce  a  huge</div><div>security threat.</div><div><br></div><div>In  order to  properly  fix  this sitution,  a  RELIABLE place  is</div><div>mandatory, where no access is  possible from the internet, yet the</div><div>gateway  itself  can  connect  to  ruby-lang.org  and  github.com.</div><div>Normal  company   intranets  behind  NATs   should  suffice,  like</div><div>netlab.jp was,hough I doubt a "normal" company intranet will not</div><div>welcome a black box like the gateway.</div><div><br></div><div>=========</div><div><br></div><div>Githubゲートウエイは卜部離職に伴い停止しております。現在のところ復</div><div>旧の見込みはございません。このようなアナウンスが事後になってしまい</div><div>ましたことを深くお詫び申し上げます。根回しが足りてなくてごめんなさ</div><div>い。</div><div><br></div><div>そもそもgithubへのゲートウエイは何らかのプロジェクトで開発されたも</div><div>のではなく卜部が少しずつ暇を見つけてはメンテナンスしていたもので、</div><div>その実態はNaCl東京支社の卜部席に設置してあった卜部私物計算機の中で</div><div>動いていました。離職に際しこの計算機は停止の上引き払いました。その</div><div>ためサービスも巻き添えで停止したという形です。</div><div><br></div><div>復旧に際して問題となるのはssh鍵です。仕組み上、ゲートウエイマシン</div><div>はrubyのsvnサーバにsshしてデータを取得した後、次にはgithubにsshし</div><div>てデータを更新する必要があり、それをcronで回す関係上、どちらで使う</div><div>秘密鍵も、ゲートウエイマシン上に、パスフレーズなしで存在している必</div><div>要があります。</div><div><br></div><div>Rubyのレポジトリにはクラックされた実績があります。githubにも脆弱性</div><div>を突かれた実績があります。したがって、これらのパスフレーズのない</div><div>ssh鍵が流出するのはかなり危険です。どちらの鍵が流出しても、Rubyの</div><div>ソースコードに悪意ある改変を加えることが可能になります。私としては</div><div>この鍵を自分の管理下にない計算機に設置したくありません。どこかの</div><div>VPSなどを借りてスクリプトを動かせば、数分から数時間程度でゲートウ</div><div>エイを移築できることは確認済みですが、その確認の際にも確認にはssh</div><div>agent forwardingを用いました。</div><div><br></div><div>こういった理由により今すぐにgithubとの同期を復旧するのはなかなかに</div><div>困難です。いや、正確に言うのであれば、べつに技術的な困難はないのだ</div><div>が、それをやるとセキュリティ上の懸念がある。少なくとも外部インター</div><div>ネット側からのアクセスができない(が、こちらからはruby-lang.orgと</div><div>github.comへのコネクションが張れる)ネットワークで、ある程度信頼で</div><div>きるホストしか設置されていない場所、に相当する場所を探す必要がある</div><div>という認識でおります。べつに普通の企業の社内ネットワークで構わない</div><div>と思いますが、そこに社業と関係ない計算機を設置する是非ですよね。</div><div><br></div><div><br></div><div>-- </div><div>http://bugs.ruby-lang.org/</div></div></div></span>
                 
                 
                 
                 
                </blockquote>
                 
                <div>
                    <br>
                </div>
            
--509c3f1e_4ad3afd2_40c--