A SUSE anunciou a remoção do ambiente de desktop Deepin de seus repositórios devido a problemas de segurança recorrentes e à tentativa de um empacotador contornar o processo de revisão da distribuição. A informação foi divulgada em security.opensuse.org/2025/05/07/deepin-desktop-removal.html.
Falta de revisão de segurança no Fedora
Ao contrário da SUSE, o Fedora não possui um mecanismo formal de revisão de segurança para pacotes como o Deepin. Por isso, os empacotadores da distribuição não tentaram driblar um processo que não existe. Contudo, a ausência de políticas de inspeção pode deixar vulnerabilidades sem a devida análise.
Problemas apontados pela SUSE
Entre os pontos críticos destacados pela equipe de segurança da SUSE está o pacote deepin-file-manager. O relatório da SUSE inclui a revisão detalhada da interface D‑Bus e das regras Polkit do gerenciador de arquivos, que revelaram:
- Alterações frequentes nos métodos D‑Bus, gerando correções parciais e novos bugs.
- Falta de respostas da equipe upstream para as solicitações de revisão.
- Ausência de inclusão na lista de “whitelisted” da openSUSE, impedindo a atribuição de CVEs individuais para cada correção incompleta.
A SUSE concluiu que o daemon do gerenciador de arquivos do Deepin apresenta “graves problemas de segurança, alguns ainda não corrigidos”.
Outros componentes críticos
Além do gerenciador de arquivos, a análise da SUSE identificou riscos em:
- deepin-api – interface de programação que expõe serviços D‑Bus potencialmente inseguros.
- deepin-system-monitor – utiliza de forma insegura o sujeito UnixProcess depreciado para autenticação Polkit.
Possíveis ações para o Fedora
Dada a situação, sugere‑se que a comunidade Fedora:
- Realize uma revisão de segurança dos pacotes Deepin, comparando com as análises da SUSE.
- Considere solicitar apoio da equipe de segurança da Red Hat para auditoria.
- Avalie a necessidade de criar políticas internas que impeçam a inclusão de alterações sensíveis sem revisão prévia.
Por que o Fedora está atrás da SUSE em políticas de segurança?
A diferença decorre da existência de mecanismos de enforcement na SUSE, que bloqueiam a adição de sysctl, D‑Bus ou regras Polkit sem aprovação. O Fedora ainda não implementou políticas equivalentes, o que pode permitir que pacotes com potenciais vulnerabilidades sejam distribuídos sem inspeção aprofundada.
Impacto para os usuários
- Usuários do Fedora que instalarem o Deepin podem estar expostos a vulnerabilidades ainda não mitigadas.
- Administradores devem monitorar atualizações dos pacotes citados e avaliar a remoção ou substituição por alternativas mais auditadas.
- Desenvolvedores upstream são incentivados a responder às solicitações de revisão para melhorar a segurança geral do projeto.
Próximos passos
A comunidade Fedora precisa decidir se mantém ou descontinua o suporte ao Deepin, adotando processos de revisão que garantam a integridade dos pacotes. Enquanto isso, recomenda‑se cautela ao utilizar componentes como deepin-file-manager, deepin-api e deepin-system-monitor em ambientes de produção.