Backdoor scoperta in alcune versioni di XZ

[GjMan78]

Ma cosa c'entra il kernel con la backdoor in xz?

[woddy68]

Intanto per precauzione Tumbleweed è stata ricostruita completamente con la versione ritenuta pulita.
Ho avuto quasi 2000 pacchetti da aggiornare.

[GjMan78]

[woddy68]

Non dice nulla di più di quanto già si sa....

[corradoventu]

https://discourse.ubuntu.com/t/whats-ha ... es/43729/8

To be clear, it’s not about rebuilding packages “with a dependency on xz/lzma”. By and large, those packages are dynamically linked to liblzma, so rolling back the liblzma library itself is sufficient to address any runtime impact of liblzma.

However, the compromised liblzma and xz-utils were present in the build environment of every amd64 package built since February 26. And both apt and dpkg link to liblzma. Since analysis by security researchers of the compromised payload is still ongoing and we don’t know what other tricks might be included in addition to the sshd backdoor, out of an abundance of caution we are treating all amd64 binaries built while this compromised liblzma was installed as “tainted” and are in the process of rebuilding.

Expect a more detailed explanation to be published in the next couple of days (possibly not until after the holiday weekend).

[Stealth]

Uno dei punti di vista su come è andata
https://www.insicurezzadigitale.com/bac ... credibile/

[GjMan78]

Uno dei punti di vista su come è andata
https://www.insicurezzadigitale.com/bac ... credibile/

Non so se questa sia tutta la verità ma sembra verosimile. E spaventoso.

[PC ZERO]

Quindi in soldoni danni reali qualcuno ne ha avuti?

[wilecoyote]

Salve,

Quindi in soldoni danni reali qualcuno ne ha avuti?

Se leggi il link postato da @Stealth quantomeno lo sviluppatore di xz, unico !, Lasse Collin è stato bannato ed il progetto xz sospeso.

Poi ci sono gli straordinari per rimettere tutto a posto.

A quanto sopra vanno aggiunti i danni cagionati, al momento inverti.
i
Ciao

[Filoteo]

Lasse Collin è stato bannato ed il progetto xz sospeso.

Eh? https://tukaani.org/xz-backdoor/

[wilecoyote]

Salve,

Lasse Collin è stato bannato ed il progetto xz sospeso.

Eh? https://tukaani.org/xz-backdoor/

È quello che si legge nel link precedente:



Ed il tuo link conferma ban e sosp.

Ciao

[Filoteo]

Ed il tuo link conferma ban e sosp.

È stata sospesa l’organizzazione su GitHub, quasi certamente perché secondo i termini di servizio non puoi ospitare malware https://github.com/tukaani-project/xz. Lasse Collin non è stato bannato https://github.com/Larhzu e neanche l’account dietro la backdoor https://github.com/JiaT75

[corradoventu]

Se su Noble non avete abilitato i proposed (come ho fatto io su una delle partizioni di prova che vado ora a riformattare) siete tranquilli, ma comunque stanno ricreando tutti i package:
https://discourse.ubuntu.com/t/xz-liblz ... st-2/43801

[wilecoyote]

Salve, @Filoteo certo che se le informazioni fossero più coerenti e chiare…

Che poi non venga almeno sospeso l'account del responsabile del cafarnao, non riesco proprio a comprenderlo.

Ciao

[woddy68]

Salve, @Filoteo certo che se le informazioni fossero più coerenti e chiare…

Che poi non venga almeno sospeso l'account del responsabile del cafarnao, non riesco proprio a comprenderlo.

Ciao

Io non so se l'hanno sospeso o meno, ma ho letto una ricostruzione che sostiene che da tempo a Collin veniva fatta pressione per farsi aiutare da qualcuno, poi si è materializzato questo JiaT75 che ha incominciato a contribuire. Si ipotizza che questo JiaT75 lavori per qualche governo (si sospetta la Cina) perché il modo con cui è successo, fa pensare che non sia un dev. che per divertimento o soldi lo ha fatto, questo perché il tutto era ben organizzato, compresa un certa pressione su distro importanti come Ubuntu e Fedora per passare a questa versione. La versione compromessa è stata rilasciata e firmata da JiaT75 non da Collin.

[wilecoyote]

Salve, che fosse un trappolone ad alto livello è palese, manca ancora il movente e scopo del tutto.

Ciao

[PC ZERO]

Salve,

Quindi in soldoni danni reali qualcuno ne ha avuti?

Se leggi il link postato da @Stealth quantomeno lo sviluppatore di xz, unico !, Lasse Collin è stato bannato ed il progetto xz sospeso.

Poi ci sono gli straordinari per rimettere tutto a posto.

A quanto sopra vanno aggiunti i danni cagionati, al momento inverti.
i
Ciao

Intendevo danni nei pc.

[Stealth]

Intendevo danni nei pc.

A parte aver accorciato la vita dei dischi (causa formattazione e reinstallazione del sistema) non direi che possa fare danni hardware di alcun tipo

[corradoventu]

Una lunga e interessante analisi del caso: https://www.wired.com/story/jia-tan-xz-backdoor/

[PC ZERO]

Intendevo danni nei pc.

A parte aver accorciato la vita dei dischi (causa formattazione e reinstallazione del sistema) non direi che possa fare danni hardware di alcun tipo

Software e dati?