MoinAlle kommentieren was zu der Backdoor in #libxz, also auch ich.
Eine Hintertür in der xz-Bibliothek gefährdet SSH-Verbindungen. Heise:
"Wie ein Entwickler eher zufällig aufdeckte – er forschte nach der Ursache mysteriöser Leistungsprobleme bei SSH-Verbindungen –, steckt in der liblzma-Bibliothek eine Hintertür."
holz.nu: xz wurde gebackdoort
Fedora: Critical security exploit
Ars Technica: Backdoor foundEs war ein professioneller und langgeplanter Einsatz und stinkt ganz erbärmlich nach Geheimdienst, Militär oder FDP.
Und ist trotzdem aufgeflogen.
Debian Stable und das Pfefferminzlinux sind wohl nicht betroffen. Die ganze lib wurde mehr oder weniger von einem Typen betreut, in der Freizeit, überlastet, pleite und ziemlich niedergeschlagen. Dem armen Kerl hat einer "hilfreich" ein Stück Code mit dem Backdoor rübergeschoben, wumms, online, wumms -
Die Paketiersysteme/leute von Redhat und Debian haben das auch gleich in die laufenden Testing-Branches eingesaugt. Jetzt wirds spannend. Diese lib ist u.A. in ssh eingebaut. Ohne ssh nix funxionopelt Internet. Das ist ein ganz mieser Move gewesen.
Das Opensourceprinzip hat Nach-, aber auch deutlich Vorteile. Die Sache kam ans Licht, before the shit would have been hitting the fan. So mal als Anmerkung an all die Pappnasen, die GPL und Opensource für Quatsch halten.
Ganz ehrlich, der Typ, der das Ding gefunden hat, hätte bei Closedsource nur blöd in die Röhre geguckt, einen Servicecall abgesetzt, 'nen schnelleren Rechner bekommen und das wärs gewesen.
Die Schnüffelschnittstelle hätte die Runde gemacht.
Ok, die ist jetzt auch "out in the wild", übel genug, aber nicht fatal.Hut ab vor der Debuggingleistung!