- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., semester, 22:43 , 29-Мрт-24 (1) +2
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Bonbon, 22:50 , 29-Мрт-24 (4) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Alexander_R, 22:59 , 29-Мрт-24 (9) +11 [^]
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 07:55 , 30-Мрт-24 (98) +1
> И как понять что тот бекдор успел натворить? Если он больше месяца существует.Audit + Accounting + MAC и логи на другой сервер, который без бекдора с xz. Тогда есть шанс что-то увидеть.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., FSA, 22:51 , 29-Мрт-24 (5) –14 [V]
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 22:56 , 29-Мрт-24 (7) +4
Создать ботнет и наехать на "конкретных" , не ?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним324, 11:03 , 30-Мрт-24 (161) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:21 , 30-Мрт-24 (174) +3
Не надо себя убаюкивать . Ботнеты на всём , что удасться взломать . И чем круче железка - тем больше вероятность что тебя же и заподозрят .
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:05 , 04-Апр-24 (411)
> Все современные ботнеты, они исключительно иот. А там как всегда протухшая на 5-7 > лет версия ядра.Именно поэтому у меня воооон там в логах немеряно левака с каких-то маздаев таких как ты васянов и прочих дырохостингов с суперблохами - где водятся баги. Отовсюду лезут на самом деле. Все что можно использовать нашару - используют. Нахаляву и уксус сладкий.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., NameName, 09:31 , 30-Мрт-24 (119)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 10:19 , 30-Мрт-24 (141) +4
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Перастерос, 22:52 , 29-Мрт-24 (6) +2
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:18 , 30-Мрт-24 (33) +4
Во! Если уж бэкдор, то только хардварный, только хардкор! Не допускать васянство!
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 02:57 , 30-Мрт-24 (79) +1
Нужно заставить гада извиниться на камеру
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Sw00p aka Jerom, 08:24 , 30-Мрт-24 (105) +2
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., adolfus, 20:32 , 31-Мрт-24 (381) –2
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., vantoo, 15:43 , 02-Апр-24 (410)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., kusb, 22:58 , 29-Мрт-24 (8) +3
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., sesto, 23:23 , 29-Мрт-24 (13) –7 [V]
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 10:22 , 30-Мрт-24 (144)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 15:56 , 31-Мрт-24 (365) +1
Но он прав в том, что один бэкдор в мире Linux был относительно быстро обнаружен вызвал скандал, а закрытая Windows может быть нашпигована по самое нехочу но ничего поделать с этим нельзя.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 17:35 , 31-Мрт-24 (375)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:02 , 26-Апр-24 (417)
Да, читать нужно уметь, но не так альтернативно одаренно, по итгу буквально все - мимо. Ключевое слово - "есть", а именно не может не быть, но ты же споришь с очевидным. Можешь обнаруживать там что угодно, но что сделаешь с этим? Пофиксишь в hex-editor? Особенно когда срок поддержки завершен - отложите все дела, устанавливаются новые уязвимости, и все по новому.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 09:53 , 31-Мрт-24 (354) +1
Ага, уже пошёл смотреть все сорсы всех либ, используемых в моем дистре, начиная с ядра. Сколько там, терабайт наберётся на почитать?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., pelmaniac, 18:03 , 30-Мрт-24 (312) –1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., birdie, 23:15 , 29-Мрт-24 (11) –24 [V]
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 23:27 , 29-Мрт-24 (15) +10 [^]
Все ок, но про одобрение каждой строчки кода уже слишком жирно
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., birdie, 23:49 , 29-Мрт-24 (24) –1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:00 , 30-Мрт-24 (125) –2
Ты лично видел, как проверяли всей оргией каждую строчку кода? Готов имена назвать конкретных тимлидов, которые всё-всё проверили и последствия их кодинга никогда не обсуждались на каком-нибудь Black Hat?Проблема очевидная - недостаток ментейнеров (или их квалификации) в дистрибутивах, раз уж это дошло до апстрима. Хочешь побыть Линусом, одобряя каждую версию пакета, подставляя свою репутацию и убивая в это время? Вперёд, никто не держит. Мы потом всем опеннетом вместе посмеёмся.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 23:29 , 29-Мрт-24 (18) +10 [^]
Каким боком здесь безопасность линукса? Это не дыра в ядре, не эскалация привилегий, а банальный троян в пользовательском приложении.В винде же троянов не бывает, а майкрософт лично проверяет код каждого экзешника в интернете. Не забудь принять таблетки.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., semester, 23:33 , 29-Мрт-24 (19) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:02 , 30-Мрт-24 (27) +2
Да, но если так же скомпрометировать популярную библиотеку на винде, разница будет лишь в том, что копия вирусной dll-ки будет лежать в комплекте у каждого отдельного приложения. Что кстати ЗНАЧИТЕЛЬНО усложняет процесс обезвреживания, ведь нельзя просто обновить 1 пакет, а придется обновлять КАЖДОЕ приложение у которого эта dll в комплекте.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 10:27 , 30-Мрт-24 (146)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., pelmaniac, 18:05 , 30-Мрт-24 (313)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 20:25 , 30-Мрт-24 (327) +3
apt autopurge xz-utils Чтение списков пакетов… Готово Построение дерева зависимостей… Готово Чтение информации о состоянии… Готово Следующие пакеты будут УДАЛЕНЫ: build-essential* dkms* dpkg-dev* g++* g++-13* g++-13-x86-64-linux-gnu* g++-x86-64-linux-gnu* gcc* gcc-13* gcc-13-x86-64-linux-gnu* gcc-x86-64-linux-gnu* libalgorithm-diff-perl* libalgorithm-diff-xs-perl* libalgorithm-merge-perl* libasan8* libatomic1* libc-dev-bin* libc-devtools* libc6-dev* libcc1-0* libcrypt-dev* libdpkg-perl* libfile-fcntllock-perl* libgcc-13-dev* libhwasan0* libitm1* liblsan0* libnsl-dev* libquadmath0* libstdc++-13-dev* libtirpc-dev* libtsan2* libubsan1* linux-libc-dev* manpages-dev* rpcsvc-proto* sysstat* xz-utils* Обновлено 0 пакетов, установлено 0 новых пакетов, для удаления отмечено 38 пакетов, и 0 пакетов не обновлено. После данной операции объём занятого дискового пространства уменьшится на 217 MB. Хотите продолжить? [Д/н]
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., birdie, 23:46 , 29-Мрт-24 (20) –13 [V]
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 23:56 , 29-Мрт-24 (25) +4
> Примеры backdoors в продуктах Microsoft в студию.Сначала ты примеры backdoors в продуктах Linux Foundation в студию. > Я говорил про software, который создаёт и распространяет сама MS официально. Мне плевать на то, кто и что "распространяет в Интернет". То есть все люди на винде пользуются исключительно приложениями от MS и никакими другими? Ну-ну.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:32 , 30-Мрт-24 (40)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Fyjy, 00:37 , 30-Мрт-24 (45) –2
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:45 , 30-Мрт-24 (51) +6 [^]
Так падажи, но если считать дыры за умышленные бэкдоры, то винда тогда по этому критерию чемпион вне конкуренции получается. А если еще учесть, что довольно много кода в ядро вносят работники MS... Тут как говорится, если слишком тщательно расследовать дело, то можно случайно выйти на себя.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Fyjy, 01:06 , 30-Мрт-24 (57) –3
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:18 , 30-Мрт-24 (61) +3
Здесь стоит опять же учитывать, что например злополучный ядерный модуль ksmbd, в котором уязвимости находят пачками, написан для протокола от MS и сопровождается людьми из того же MS.Хотя опять же, выдавать уязвимости за умышленные бэкдоры это удел конспиролухов. В такое лучше не скатываться.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Fyjy, 01:27 , 30-Мрт-24 (64) –2
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:43 , 30-Мрт-24 (69) +2
> Ну так не принимайте от них модули.Не, это не выход, так можно вообще перестать любой код принимать. Есть жирный плюс в том, что пока модуль не загружен, наличие в нем дыр не имеет значения. То есть всем кто не пользуется SMB от его существования ни холодно ни жарко. Зато если модуль выкинуть, то прямо пострадают те, кому SMB таки нужен.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., iPony129412, 03:25 , 30-Мрт-24 (80) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., твёрдый ветер, 01:38 , 30-Мрт-24 (67) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:54 , 30-Мрт-24 (75) –1
> у линукса их больше но это по большей части отказ в обслуживании что неприятно но терпимо, в то время как у винды доминирует увеличение привилегий и доступ к информации.Если честно, мне лень искать и считать сколько у кого RCE, сколько privilege escalation. Как это сделать быстро я не нашел. Поэтому поверю вам на слово. Но в ядре хватает и того и другого. А это только чистое ядро.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 09:44 , 30-Мрт-24 (121)
Стоп, а почему по Винде ты взял только две последние версии? Опять подгоняешь условия задачи под нужный ответ?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:07 , 30-Мрт-24 (28) +1
> Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним лет, что они существуют.Вы серьёзно? Тут даже сложно комментировать ибо вы похоже очень многое пропустили... Вы хоть знаете фамилию президанта РФ? :)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:28 , 30-Мрт-24 (36)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., birdie, 00:45 , 30-Мрт-24 (50) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:44 , 30-Мрт-24 (71)
> Держи. Не захлебнись только.Linux Kernel обгоняет винду десятку на 796 CVE cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/Linux-Linux-Kernel.html Так что пример явно так себе))
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Skullnet, 03:44 , 30-Мрт-24 (83)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 09:01 , 30-Мрт-24 (110) +2
> К тому же доверия closed-source софту, а особенно софту от биг-корпораций нет.Ну да, а доверие к опенсорс софту - есть?)) У нас тут новость про бекдор, вообще-то! Который не заметило ни 'сообщество', ни мейнтейнеры, которые по идее должны быть более компетентные) Это раз. Исходники винды закрыты весьма условно. Во-первых, кому надо их отдают на аудит. Во-вторых, исходники винды утекали и не раз. Но даже после этого никто не нашел там бекдоров и заявил об этом. Это два. Ну а три - твоя оценка в 10 раз с потолка. Никто не знает сколько багов ядра были потенциальными CVE которые просто исправили. Это как раз пример, что (и) в опенсорсе никто ни за что не отвечает и доверять им нельзя, не смотря что код дают на блюдечке.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:06 , 30-Мрт-24 (127)
Фишка опенсорса в том, что за тебя сделали работу по реализации функционала и отдали тебе КОД. Берёшь и переписываешь его так, как тебе надо, и никто тебе ничего не сделает, пока как отдельный продукт выставлять не будешь в случае с GPL. Под MIT, BSD и публичным доменом всё ещё проще.А теперь покажи, как ты поправишь майкрософтский драйвер или сетевой стек под виндовое ядро, без кода то.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:13 , 30-Мрт-24 (135) –1
> Берёшь и переписываешь его так, как тебе надо > А теперь покажи, как ты поправишь майкрософтский драйверСтоп-стоп. Мы сейчас не про достоинства опенсорса. А про то что аргумент "опенсорс безопаснее закрытого софта" мягко говоря спорный, хотя его используют практически все визионеры. Потому что опенсорс - такое же {#}, если не большее.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 20:47 , 30-Мрт-24 (329) +1
Это не фишка, а насадка на зависимость )
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Skullnet, 12:13 , 30-Мрт-24 (214) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:35 , 30-Мрт-24 (223) –1
> бекдоры могут быть только в специальных релизных версиях, которые не комитятсяТы это про винду? Или про те бинарники, которые тебе в пакетный менеджер прилетают? Или про те исходники, которые тебе отдаются в виде tar.gz для компиляции локально и которые ты не сверяешь построчно с оригиналом? Хватит уже неси параноидальную чушь. Эта новость - прекрасный пример как открытые исходники спасают от бекдоров))
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 04:05 , 30-Мрт-24 (84) +5
>Linux Kernel обгоняет винду десятку на 796 CVEАбсолютно "кривая" логика. Если сравнивать *конкретную* версию винды (Win10), то надо брать *конкретную* версию ядра, например 4.19.х, выпущенную примерно одновременно с 10-кой. А если хочешь сравнить колличество CVE для всех Linux Kernel, то и для винды надо считать CVE для всех, начиная с Win95. ИМХО так будет корректно.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:28 , 30-Мрт-24 (38) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Jh, 11:18 , 30-Мрт-24 (172) –1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:20 , 30-Мрт-24 (217) –1
>Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним летКак-то утек в открытый доступ сервис пак для NT с неудаленными отладочными символами. Там некоторые ключи назывались NSA_key. Не бекдор, конечно..
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:08 , 04-Апр-24 (412)
> Примеры backdoors в продуктах Microsoft в студию. Хотя бы один за 40 с лишним лет, > что они существуют.Всякие ремотные активации с "customer experience improvement" с отсылкой нажатий кнопок на клаве интеречно что по вашему? Фича чтоли? Ну тогда кардер разувающий вашу кредитку - благодетель, вероятно. А грабитель - так и вообще клевый чувак.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:39 , 30-Мрт-24 (68)
Ну да, ядро же оно само по себе существует, ему же вообще ничего не нужно. Прикладное ПО? Зачем оно пользователям линукса? А пока остаётся только ставить линукс и приговаривать: "This is fine"
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:10 , 04-Апр-24 (413)
> А пока остаётся только ставить линукс и приговаривать: "This is fine"Ну так в стабильных дистро - "all systems online". Ну в васяны с роллингами как раз и побегали по минному полю - а они разве не на это подписывались? :)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., твёрдый ветер, 23:48 , 29-Мрт-24 (23) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Bonbon, 08:04 , 30-Мрт-24 (100) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:14 , 30-Мрт-24 (168)
Что интересно, в светлой голове мейнтейнера даже мысли не возникло, почему ПРИКЛАДНОЙ код написан так, что верификаторы ругаются на всякие низкоуровневые ifuncs. Даже если бы они там были реально нужны - этот говнокодинг ушёл бы в продакшн без возражений, я так понимаю?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 09:27 , 30-Мрт-24 (117)
> В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту, в мире Linux такого не существует.Ага, наивный. Работал я в крупных компаниях. Строчки там одобряют неглядя(за редким исключением), потому что вчера надо было. И всегда есть с десяток бекдоров как обойти это ревью или прислать изменение от другого сотрудника. Например как-то отклонил ревью у коллеги потому что он делал ерунду, велел все переделать, он нашёл другого коллегу из смежного отдела, который не стал париться и просто заапрувил. Не говоря уже о бекдорах которые сами эти крупные компании вставляют. Что у эппла, что у мелкософта было гораздо больше казусов пожестче xz. Гугл и сам на линуксе сидит. Очевидно, проблема принципиально не решаема. Как писать простой код который будет легко проверить, собрать и верифицировать - никто не знает. Читать простыни и выискивать трояны никто не согласен, да и с таким объёмом кода невозможно. А от минимализма уже давно отказались.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., ProfessorNavigator, 11:46 , 30-Мрт-24 (199)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 23:04 , 31-Мрт-24 (386)
>[оверквотинг удален] > Опять же ответ прост - конкурентная борьба за ресурсы между людьми. > Чем больше ты контролируешь ресурсов, тем меньше шанс оказаться на улице > без средств к существованию и сдохнуть от голода. Как это прекратить? > Дать каждому уверенность, что чтобы не случилось, его обеспечат работой и > гарантированным минимумом необходимых для жизни ресурсов (не только водой и едой, > но также жильём, медициной, образованием и т.д.). Как создать подобное общество? > Вопрос достаточно сложный, но опять же решаемый - одна попытка уже > была. В чём-то успешная, в чём-то - нет, однако правильность подхода > можно считать доказанной. Осталось лишь сделать работу над ошибками - разобраться, > почему не получилось, и попробовать создать правильную версию.хорошая попытка, но нет.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:04 , 30-Мрт-24 (211)
Cisco достаточно крупная корпорация? Все же помним доступ по curl? А исправление бекдора в виде запрета доступа по... юзерагенту curl?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:07 , 30-Мрт-24 (241)
> В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту, в мире Linux такого не существует. И дело не только в Linux, FreeBSD тоже страдает от этого. Я не уверен насчет OpenBSD/NetBSD, поскольку никогда их не использовал.Тем временем https://overclockers.ru/blog/Docent2006/show/20835/v_routera... В 2013 году разоблачения немецкой газеты Der Spiegel показали, что АНБ использует некоторые бэкдоры в маршрутизаторах Cisco. Cisco опровергла обвинения в том, что она работает с АНБ для внедрения этих бэкдоров. В 2014 году в маршрутизаторах Cisco для малого бизнеса был обнаружен новый недокументированный бэкдор, который может позволить злоумышленникам получить доступ к учётным данным пользователя и выполнять произвольные команды с повышенными привилегиями. В 2015 году группа злоумышленников, поддерживаемых государством, начала установку вредоносного бэкдора в маршрутизаторах Cisco, воспользовавшись многими маршрутизаторами, которые сохраняли учётные данные администратора по умолчанию, вместо того, чтобы изменять их на что-то ещё. В 2017 году Cisco с помощью утечки данных Wikileaks обнаружила уязвимость в своих собственных маршрутизаторах, которая позволила ЦРУ удаленно управлять более чем 300 коммутационными моделями Cisco. Ждем твой комментарий с этодругином.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 15:26 , 30-Мрт-24 (288) –1
Вы прекрасно нарыли дыры у networking equipment vendor. Прекрасно.Но какое Cisco имеет отношение к компаниям, которые перечислил птичка? Даже если переставить буквы, Cisco не получится. Увы.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 16:07 , 30-Мрт-24 (305)
> Но какое Cisco имеет отношение к компаниям, которые перечислил птичка?А если прочесть его сообщение внимательней? > В то время как крупные корпорации, такие как Cisco разве перестала быть корпорацией, с проприетарной продукцией?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:15 , 30-Мрт-24 (248) +1
> Я уже много лет говорю [...] Я знал > В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиентуОх, лол. Чел, ты же, очевидно, в коммерческой разработке никогда не участвовал. Откуда у тебя при этом столько спеси?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 15:28 , 30-Мрт-24 (289)
>> Я уже много лет говорю [...] Я знал >> В то время как крупные корпорации, такие как Microsoft, Google или Apple, одобряют каждую строчку кода, которая попадает к вам как к клиенту > Ох, лол. Чел, ты же, очевидно, в коммерческой разработке никогда не участвовал. > Откуда у тебя при этом столько спеси?Давно/много работаете в указанных выше компаниях или ваша "коммерческая разработка" ограничена шаражкой на 200 человек от силы?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Anonimous, 13:22 , 30-Мрт-24 (252) +2 [V]
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Ано ним, 23:17 , 29-Мрт-24 (12) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., birdie, 23:29 , 29-Мрт-24 (17) –5 [V]
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:10 , 30-Мрт-24 (30) +8 [^]
Учитывая, что разрабатывают openssh разработчики openbsd, то вопрос кто тут извращается с libsystemd, остаётся открытым
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:34 , 30-Мрт-24 (43) +14 [^]
Нету в проекте openssh никаких обращений к libsystemd и тем более "методов".Умники-разумники из популярных дистро вместо того, чтобы самим реализовать достаточную часть протокола — вызвать getenv("NOTIFY_SOCKET"), открыть указанный там сокет, написать туда в нужный момент 8 байт ("READY=1\n"), закрыть сокет и вызвать unsetenv() — решили слинковаться с libsystemd ради одной функции, совершающей вышеперечисленные шаги, и притащили в адресное пространство вагон зависимостей этой libsystemd вроде libcurl, liblzma, libmount и ещё десятка чего-то там. Этим бекдор и пользуется, вмешиваясь в работу dynamic linker, о чём довольно подробно написано в рассылке oss-security. Умник №1: https://salsa.debian.org/ssh-team/openssh/-/commit/59d17e908... Умник №2: https://src.fedoraproject.org/rpms/openssh/blob/176421c4e42b... Функция sd_notify() не дёргает liblzma, для бекдора этого не надо. Т. н. "systemd notifications" можно реализовать без libsystemd, и этот протокол применяется не только в systemd (ещё в QEMU). Извращение добавили те дистро, что впатчили сборку с libsystemd. Прежде чем писать, сначала лучше проверяйте сведения.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:06 , 30-Мрт-24 (58) +4
> То, что вы в своём Gentoo/LFS/Devuan извращаетесь, не имеет отношения к новости.Красиво подгорает! Перечитываю снова и снова, не могу налюбоваться!
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 08:38 , 30-Мрт-24 (108) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Ivan_83, 00:50 , 30-Мрт-24 (53) +2
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 23:29 , 29-Мрт-24 (16) +4
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:34 , 30-Мрт-24 (41) +1
А что насчёт zstd? Бяка типа xz или что-то приятное типа gz/lz? Есть информация?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:34 , 30-Мрт-24 (42)
Слишком много букв. А что они там предлагают для long-term archiving?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:04 , 30-Мрт-24 (55) +1
Ничего конкретного.Но вообще любой шарящий в теме человек знает, что для действительно длительного и надежного хранения данных нужна избыточность. То есть желательно использовать что-то типа Parchive.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:21 , 30-Мрт-24 (62)
Они говорят, что gzip, bzip2 и lzip "в разы" лучше в плане детекта различного рода проблем, появляющихся в архивах со временем, чем xz (детект ошибок в битых архивах и прочее подобное).
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., й, 13:29 , 30-Мрт-24 (258)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 23:47 , 29-Мрт-24 (22) +6 [^]
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:07 , 30-Мрт-24 (29)
> Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется срочно откатиться на версию 5.4.6.xz --version xz (XZ Utils) 5.4.1 liblzma 5.4.1 Хакеры 0 : 1 Debian stable
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Skullnet, 00:25 , 30-Мрт-24 (35) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:40 , 30-Мрт-24 (48) –1
А вот у тебя 4 летняя, но сидеть на старостабильной ветке и не ставить на неё обновления старостабильной ветки тоже аутизм
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Skullnet, 01:30 , 30-Мрт-24 (65) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:33 , 30-Мрт-24 (221) +1
Основанный на покрывшейся плесенью Ubuntu 22.04 LTS. Ничего, в этом году должен выйти новый LTS выпуск.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 14:28 , 30-Мрт-24 (283) +2
Псс, Ubuntu 22.04.4 LTS вышел достаточно недавно и софты в нём достаточно свежие. А главное всё работает. Новый LTS до первых фиксиков вообще лучше палкой не трогать будет. Надо сказать санитарам, что ты опять обделался
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:38 , 30-Мрт-24 (46)
Все версии за 2 года содержат код этого автора, у тебя слишком сырая версия.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 04:08 , 30-Мрт-24 (86) +1
Угу.> He has been part of the xz project for 2 years, adding all sorts of binary test files, and to be honest with this level of sophistication I would be suspicious of even older versions of xz until proven otherwise. > Debian is currently looking into downgrading it even further, before the first contribution from the known bad actor, which may be an older 5.2 release (later ones were also cut by them), then reapplying only the security fixes that came later on top manually, for now. OpenNet: "Я в безопасности, меня не касается, проблемы нет!!"
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:15 , 30-Мрт-24 (32)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:20 , 30-Мрт-24 (34) +21 [^]
Чувак не виноват, ему просто copilot сделал автоподстановку и он случайно нажал на Tab
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:32 , 30-Мрт-24 (39) [V]
> В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd Бекдору больше месяца. Вышло две версии, которые даже успели порастаскивать в дисты. А куда смотрели тысячи глаз? Ведь код же открыт, каждый мог его посмотреть и убедиться в его надежности. Неужели свидетели надежности опенсорса не читают сорцы при обновлении?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., birdie, 00:36 , 30-Мрт-24 (44) +3
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:39 , 30-Мрт-24 (47)
fedora $ xz --version xz (XZ Utils) 5.4.4 liblzma 5.4.4ubuntu $ xz --version xz (XZ Utils) 5.2.5 liblzma 5.2.5 debian $ xz --version xz (XZ Utils) 5.4.1 liblzma 5.4.1 Фух. Пронесло =)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 00:41 , 30-Мрт-24 (49)
> Всем пользователям выпусков xz 5.6.0 и 5.6.1 рекомендуется срочно откатиться на версию 5.4.6.Ну, ладно. > https://security.archlinux.org/ASA-202403-1 А эти пишут, что "The problem has been fixed upstream in version 5.6.1."
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:04 , 30-Мрт-24 (56) +1
Хорошо, что использую Debian stable, где, как говорят "эксперты", все протухло и он не нужен.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:16 , 30-Мрт-24 (59) +15 [^]
Хорошо или нет, но именно дебиан (среди прочих) пропатчил исходники openssh таким образом, что sshd стал уязвим. У тех, кто не считает себя умнее разработчиков openssh и не оверпатчит изначальный софт вдоль и поперёк, проблемы нет.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:49 , 30-Мрт-24 (73)
Да заметили бы, только уже при расследовании реальных взломов. Но автор конечно действительно прокололся на мелочи.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 04:07 , 30-Мрт-24 (85) +1
> He has been part of the xz project for 2 years, adding all sorts of binary test files, and to be honest with this level of sophistication I would be suspicious of even older versions of xz until proven otherwise. > Debian is currently looking into downgrading it even further, before the first contribution from the known bad actor, which may be an older 5.2 release (later ones were also cut by them), then reapplying only the security fixes that came later on top manually, for now.OpenNet: "Я в безопасности, меня не касается, проблемы нет!!"
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:36 , 30-Мрт-24 (66) –2
Ну так себе, для любителей всяких current/testing/unstable версий. Хорошо что выявили довольно быстро, если бэкдор имел более скрытые особенности могло бы годами так лежать незаметно. После такого проекту вообще нельзя больше доверять и надо его исключить из состава топ дистров.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:45 , 30-Мрт-24 (72) +2
Тут цельное селинукс кровавой црушнёй писано, да не смутит вас ник злыдня "под китайца"...
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 02:17 , 30-Мрт-24 (78) –1
Матчасть бы изучил, умник. Селинукс изобрели в АНБ, и по словам Сноудена они как раз конкурируют с црушниками в плане ИБ. У первых цель - безопасность, а у вторых внедрение зондов и шпионаж. Но для среднего васяна - все западные агенства это одна большая конспирология.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 07:44 , 30-Мрт-24 (96) +2
Вот и сам изучи матчасть, "безопасность" -- морковка для ослика, а вот поди разгадай как меняется логика функций в зависимости от последовательности данных и условий во времени. Это тебе не васян-троян, это ещё могшие на логическую обфускацию индусы. И слово "безопасности" в названии конторы это не про вашу безопасность.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:12 , 30-Мрт-24 (133) +2
Тогда почему ты пишешь от Анонима, а не зарегистрировался на форуме по телефону и паспорту, как порядочный гражданин?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:20 , 30-Мрт-24 (142) –1
> И слово "безопасности" в названии конторы это не про вашу безопасность.Разумеется! Но свою безопасность им тоже нужно как-то организовывать. Например от коллег из дружественного Китая и РФ. А раз им приходится пользоваться линуксом, который дыряв как носки срочника, то с этим пришлось что-то делать.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Анонм, 10:17 , 30-Мрт-24 (140)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 10:48 , 30-Мрт-24 (152) –2
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:56 , 30-Мрт-24 (159)
> Начинаем учить матчасть: > 1. Сноуден, прежде всего, предательКому-то самому не мешало бы поучить матчасть. Сноуден исходит из мнения что службы воюют против собственного народа. А согласно их законам имеют право на восстание. Он помогает чем может. Свой народ по его личному мнению он не продавал. > 2. Где факты, подтверждающие его компетентность, кроме как "у Эйнштейна тоже был тройбан по физике"? Издание рейтерс пойдет? Комментарий главы АНБ. WASHINGTON (Reuters) - Former U.S. National Security Agency contractor Edward Snowden leaked as many as 200,000 classified U.S. documents to the media, according to little-noticed public remarks by the eavesdropping agency's chief late last month. Факты компетентности главы АНБ надо приводить?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 11:32 , 30-Мрт-24 (189)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:47 , 30-Мрт-24 (200)
> Действительно, учить, так учить. Однокоренные слова к "мнение": мнить, мнимый. Маня-мирок, если выражаться на принятом здесь языке.Что же ты юлишь то? Очередного задорнова-фоменко косплеишь неубедительно. А слово линух происходит от слов Ли Нух? Наверное смысл что абсолютное большинство населения ит должно избавиться от идолопоклонничества мс? Так как там с правом народа на восстание? А что ООН пишет по поводу борьбы народа с властью что преступает закон? А по поводу исполнения преступных приказов ты тоже не слышал? Ну раз ты такой за.тый технарь жду технического определения когда народ имеет право на восстание и неподчинение законам. Что там надо? Проценты недовольства икрой, использование продукции мс на пк больше 94% людей, личное авторитетное мнение нуби? > Вижу факт: contractor. Работник по контракту. А в контракте что написано? Полы подметал? Расскажи как относится компетентность лично Сноудена, которую ты сам ни шиша не знаешь, к факту утечки 200К документов безопасности? Специально упростил задачу - вывел компетентность человека из неё. А ты мне грибные трипы с полами подсовываешь. > Нет, ты ведь не осилил вопрос номер 3. Зачем его осиливать? Судя по твоим совершенно детским комментариям по пункту 1 и 2 ты его у одноклассника на страничке в контакте взял.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 13:33 , 30-Мрт-24 (262)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:47 , 30-Мрт-24 (270) +1
Ливнул, как ожидаемо. Ни одного своего лживого утверждения не смог обосновать. Под анонимом лучше такое пиши, а то все благодаря интернету теперь знают что ты недалекий, а не только сосед.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 08:35 , 31-Мрт-24 (351)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:37 , 31-Мрт-24 (359)
> Я тебе это уже неоднократно писал, ведь так?Про 12 приёмов Чапека тебе наверное уже ленивый не писал. Успокойся, здесь люди не твоего уровня и такие передерги видели уже давным давно. > Уговорил, объясняю вот это за тебя. Проекция - механическая псих.защита, характерная для недалёких индивидов. А суд сша тоже с псих.защитой? Или это у тебя мания величия сейчас раздувается? Ну давай, попроси ещё 5К за консультацию, хехе. > И без оправданий понятно, почему ты пишешь под Анонимом. Ну вот видишь как прекрасно. Никаких оправданий. Все видят как ты по этой теме сел в лужу. Это один простой анонимный комментатор устроил. В остатке всех твоих посещений опеннета будет: склочный, недалекий, мнительный человек. Пытается всё время показать превосходство используя 12 приемов полемики Чапека. Что никогда не выходит - потому что знаний у него почти нигде нет. В результате постоянно садится в лужу. Отказывается принимать реальность когда ему дают ссылки на компетентные источники информации.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 17:38 , 31-Мрт-24 (376)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 20:57 , 31-Мрт-24 (382)
Так кто прав? Американский суд признавший преступным слежку за своими гражданами или опеннетовский нуби?Сливайся.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 07:47 , 01-Апр-24 (395)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 18:43 , 01-Апр-24 (406)
Прямо эталон по впрыгиванию в жир ногами показал. И дальше крутишься как на сковородке, против решения суда сша. Самому то не стремно так опозориться и ещё упорствовать? Это риторический вопрос, тебе то уже ничего не поможет. Чао, альтернативный.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 11:03 , 02-Апр-24 (408)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., TSO, 22:59 , 30-Мрт-24 (336)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., ОШИБКА Отсутствуют данные в поле Name, 10:57 , 30-Мрт-24 (160)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 11:35 , 30-Мрт-24 (191)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:58 , 30-Мрт-24 (205)
Ты с мат частью всё-таки ознакомишься может? Слежка за любым гражданином без санкций.I will be satisfied if the federation of secret law, unequal pardon and irresistible executive powers that rule the world that I love are revealed even for an instant. Now increasingly we see that it's happening domestically. And to do that, they, the NSA specifically, targets the communications of everyone. Not all analysts have the ability to target everything, but I, sitting at my desk, certainly had the authorities to wiretap anyone, from you or your accountant, to a federal judge, to even the President, if I had a personal email.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 13:39 , 30-Мрт-24 (266)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:46 , 30-Мрт-24 (268)
Ты с матчастью ознакомься. Это цитата Сноудена в интервью гуардиану. Сбор данных без санкции суда на обычных граждан считается в сша очень крупным нарушением. Сливайся уже, малой
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 08:41 , 31-Мрт-24 (352)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:23 , 31-Мрт-24 (357)
> С какого перепугу я должен верить персонажу, чья компетенция в вопросе никак не подтверждена? Seven years after former National Security Agency contractor Edward Snowden blew the whistle on the mass surveillance of Americans’ telephone records, an appeals court has found the program was unlawful С этим можно ознакомиться хоть в отечественных сми, хоть в американских. Так же на вики существует куча отсылок на официальные действия сша. И все идут в сторону что поправка четвертая была нарушена. Ты письмо их суду уже написал что они некомпетентны. > Видишь ли, твоя паранойя по этому поводу недостаточно заразительна. Ты решил все приемы Чамека здесь вывалить? На меня это не действует. С твоей стороны какое-то высасывание из пальца. С моей стороны опубликованные документы, решение суда, законы что были приняты после этого и имели обратную силу(что бы под суд не угодило много компаний). А вот твоя беготня с росой по всем веткам она характерна. Вон они тебе как оо разработали в ОО в нике. До сих пор горит. Вмажь что-нибудь от болей себе уже и успокойся. > Для теба это нарушения, а для той конторы рутина. In a ruling handed down on Wednesday, the U.S. Court of Appeals for the Ninth Circuit said the warrantless telephone dragnet that secretly collected millions of Americans’ telephone records violated the Foreign Intelligence Surveillance Act and may well have been unconstitutional. > Если ты пытаешься меня убедить, что Столлман не понимал задачи и методы конторы, куда трудоустраивался, после того как облажался в пехоте, я тебе поздравляю - ты "подтвердил" его компетентность. Свою компетентность ты уже здесь всем показал. Никто не прав вплоть до американского суда, а ты лучше них такой знаешь что такое нарушение и как должна работать та контора.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 17:41 , 31-Мрт-24 (377)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 20:58 , 31-Мрт-24 (383)
Итак кто прав. Американский суд признавший преступным слежку за своими гражданами или опеннетовский нуби?Сливайся.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 07:49 , 01-Апр-24 (396)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:13 , 30-Мрт-24 (246) +1
Извините за занудство, но 1. Сноуден сам пошёл в контору. Взрослый мужчина, не мог не знать, какого рода делами занимается контора. То есть сам изъявил желание поучаствовать. 2. Сам принял гражданство РФ.Поэтому все эти морализаторские аргументы - лицемерие.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 13:35 , 30-Мрт-24 (264)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:54 , 30-Мрт-24 (274)
> Сноуден сам пошёл в контору. Взрослый мужчина, не мог не знать, какого рода делами занимается контора. То есть сам изъявил желание поучаствовать.Контора занимался незаконной деятельностью за пределами сша. Это его устраивало. Потом она начала заниматься незаконной деятельностью на территории сша. Против своих граждан. Он решил помещать как может. Так сложно это понять? Если бы они не начали по своим работать шиш бы он куда сбежал. Так бы радостно и работал на страну.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:49 , 30-Мрт-24 (153) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:44 , 30-Мрт-24 (70) +9 [^]
Надо было xz на расте писать, с его наркохипанским синтаксисом никто ничего никогда бы не нашёл.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:29 , 30-Мрт-24 (187) +6 [^]
> на расте писать, с его наркохипанским синтаксисом никто ничего никогда бы не нашёл.То есть синтаксис m4 портянки из новости тебя не смутил, да?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:38 , 30-Мрт-24 (265) +1
Это хорошо что вы открыто говорите о своих проблемах. Ну не удалось вам понять как работают лайфтаймы в Расте, ну что поделаешь, бывает. Многие даже Си осилить не могут, так до сих пор и ходят [под себя] за пределы буфера.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Лутту, 01:51 , 30-Мрт-24 (74) +2
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Oe, 01:54 , 30-Мрт-24 (76) –2
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:15 , 30-Мрт-24 (137) +2
Иди сурсы читай. sshd напрямую эту библиотеку и не использует, просто какие-то гении присобачили к sshd systemd, а эта хрень уже тащит с собой чуть ли не весь интернет в зависимости. Просто sshd тут оказался апетитной добычей, а так по-факту под контроль можно взять всю твою систему, если подменить при линковке нужные функции уже в самом systemd.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Oe, 12:24 , 30-Мрт-24 (219) –5 [V]
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:11 , 30-Мрт-24 (243)
> По логике любой либе скармливаются входные данныев виде указателя на область памяти... Ты представляешь производительность того же хрома, который на каждый библиотечный вызов будет сериализовать нагрузку и передавать ее через какой-то спец интерфейс?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 18:59 , 30-Мрт-24 (322) +1
>Почему в 2024 году память sshd не зашифрована аппаратно?Так и запишем - пособник копирастов-тивоизастов и устаревастов.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Легивон, 10:26 , 31-Мрт-24 (358) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 14:43 , 01-Апр-24 (405)
> Вопрос по прежнему открыт: почему ноунейм прилинкованная либа имеет доступ к памяти sshd?Это претензии к операционным системам, я надеюсь, а не к разработчикам прикладной программы? Потому что все широкораспространенные операционки загружают разделяемые библиотеки в область памяти процесса и все они (и программа и прилинкованные библиотеки) на аппаратном уровне имеют равные права обращаться куда угодно в пределах этой области, хоть это и категорически нежелательно, в частности в свете того, что в программе и библиотеках всунуты разные менеджеры памяти? > Почему в 2024 году память sshd не зашифрована аппаратно? По логике любой либе скармливаются входные данные и она отдает выходные, ни в какие иные области памяти она читать и тем более писать не имеет право Да пожалуйста, они бы и без доступа к памяти sshd обошлись, хватило бы и своей собственной выделенной, главное, чтобы sshd подтянул либу и запустил ее код, особенно со своими sshd-ными правами. А дальше они уже сами разберутся. Мало что ли там находят локальных уязвимостей с поднятием привилегий.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 10:54 , 30-Мрт-24 (158)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., soarin, 03:34 , 30-Мрт-24 (81)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 04:14 , 30-Мрт-24 (87) –1
> This repository has been disabled.Посжимали и хватит. F
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 05:08 , 30-Мрт-24 (88) +1
>патч для поддержки systemd-notify, приводящий к связыванию sshd к liblzmaЯ так понимаю, что если был любой другой инит, а не системда + патч, то этот бекдор не проблема? Сами дураки, поставили инит в котором пропатчив один из модулей подвергают атаке все сразу.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., glad_valakas, 05:23 , 30-Мрт-24 (90)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 09:15 , 30-Мрт-24 (113) +3
Сколько же там дерьма напихано, фу. Правильное у меня мнение было об этом дистре. Вот в генту без лишнего ldd /usr/sbin/sshd linux-vdso.so.1 (0x00007ffe63093000) libcrypt.so.2 => /usr/lib64/libcrypt.so.2 (0x00007f787309d000) libcrypto.so.3 => /usr/lib64/libcrypto.so.3 (0x00007f7872a00000) libz.so.1 => /usr/lib64/libz.so.1 (0x00007f7873083000) libc.so.6 => /lib64/libc.so.6 (0x00007f7872824000) /lib64/ld-linux-x86-64.so.2 (0x00007f78731e9000)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:42 , 30-Мрт-24 (196)
В Debian: ldd /usr/bin/ssh linux-vdso.so.1 (0x00007ffd6d9fb000) libselinux.so.1 => /lib/x86_64-linux-gnu/libselinux.so.1 (0x00007fd28feae000) libgssapi_krb5.so.2 => /lib/x86_64-linux-gnu/libgssapi_krb5.so.2 (0x00007fd28fe5c000) libcrypto.so.3 => /lib/x86_64-linux-gnu/libcrypto.so.3 (0x00007fd28f800000) libz.so.1 => /lib/x86_64-linux-gnu/libz.so.1 (0x00007fd28fe3d000) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fd28f61f000) libpcre2-8.so.0 => /lib/x86_64-linux-gnu/libpcre2-8.so.0 (0x00007fd28fda1000) /lib64/ld-linux-x86-64.so.2 (0x00007fd290002000) libkrb5.so.3 => /lib/x86_64-linux-gnu/libkrb5.so.3 (0x00007fd28fcc7000) libk5crypto.so.3 => /lib/x86_64-linux-gnu/libk5crypto.so.3 (0x00007fd28fc9a000) libcom_err.so.2 => /lib/x86_64-linux-gnu/libcom_err.so.2 (0x00007fd28fc94000) libkrb5support.so.0 => /lib/x86_64-linux-gnu/libkrb5support.so.0 (0x00007fd28fc86000) libkeyutils.so.1 => /lib/x86_64-linux-gnu/libkeyutils.so.1 (0x00007fd28f618000) libresolv.so.2 => /lib/x86_64-linux-gnu/libresolv.so.2 (0x00007fd28f607000)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., НяшМяш, 13:09 , 30-Мрт-24 (242)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., нах., 12:42 , 30-Мрт-24 (225)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 05:24 , 30-Мрт-24 (91)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 05:20 , 30-Мрт-24 (89) +3
А сколько таких, которые не попались?!
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 05:38 , 30-Мрт-24 (92) +3
a/xz-5.6.1-x86_64-2.txz: Rebuilt. Seems like a good idea to build this from a git pull rather than the signed release tarballs. :-) The liblzma in the previous packages were not found to be vulnerable by the detection script, but I'd rather not carry the bad m4 files in our sources. Here's a test script for anyone wanting to try it: if hexdump -ve '1/1 "%.2x"' /lib*/liblzma.so.5 | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410 ; then echo probably vulnerable else echo probably not vulnerable fiВот вам код для проверки от Патрика.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 07:51 , 30-Мрт-24 (97) +5
> в прошлом году Jia Tan внёс изменения, несовместимые с режимом проверки "-fsanitize=address", что привело к его отключению при fuzzing-тестировании.Вот! В этом месте и надо отлавливать вредителей. Ещё одно место это JIT код который не собирается с -fPIE надо искоренить.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., iCat, 07:57 , 30-Мрт-24 (99) –1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., вася, 08:04 , 30-Мрт-24 (102)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Вова, 08:12 , 30-Мрт-24 (104)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:04 , 30-Мрт-24 (210)
> Интересно, на сколько лет посадят писателя этого бэкдора?Ни на сколько, потому что в лицензии либы есть отказ от каких либо обязательств.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., нах., 12:44 , 30-Мрт-24 (227) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 08:40 , 30-Мрт-24 (109) +1
Хомы начинают прозревать, а вдруг не все выходы за границы буфера это просто ошибка? И никакой р-ст не спасёт от злонамеренного использования.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 09:09 , 30-Мрт-24 (111) –7 [V]
Какой позор для опенсорса... Внезапно оказалось, что открытый код и контролируемые репозитории не спасают от бекдоров... У фанатиков срочный перерыв на переписывание методичек))
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:13 , 30-Мрт-24 (134) +1
Так бекдор, внезапно, в бинарнике! Вот тебе и закрытый код.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 11:21 , 30-Мрт-24 (175)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 16:15 , 30-Мрт-24 (306)
Ты точно читал новость? Архивы давно перестали быть бинарными файлами?При сборке в ходе выполнения запутанных обфусцированных операций на основе архивов bad-3-corrupt_lzma2.xz и good-large_compressed.lzma, добавленных под предлогом использования в тестах корректности работы распаковщика, формировался объектный файл с вредоносным кодом, который включался в состав библиотеки liblzma и изменял логику работы некоторых её функций.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 23:31 , 30-Мрт-24 (342)
Бэкдор не в коде программы, а в её сборочных скриптах. Это определенно всё меняет.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., n00by, 08:53 , 31-Мрт-24 (353) –1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 16:45 , 31-Мрт-24 (367) [V]
Не стыдно гуглить новое, стыдно бросатся умными словами без понимания их значения, строя из себя эксперта.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:09 , 26-Апр-24 (418) [V]
Ты уже совсем съехал и собеседников между собой путаешь, враждебный мир он такой, все есть заговор против тебя.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:36 , 30-Мрт-24 (192) +3
> Внезапно оказалось, что открытый код и контролируемые репозитории не спасают от бекдоров...Ты с логикой дружишь? Бэкдор найден через месяц после внедрения, в репе по комитам нашли автора. А теперь представь, что было бы при подобной ситауции в проприетари.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 16:18 , 30-Мрт-24 (307) +3
> А теперь представь, что было бы при подобной ситауции в проприетари.А ничего бы не было, в Cisco до сих пор не расказали, кто на наоставлял вагон бекдоров, несмотря на все скандалы (но запретили Huawei, что иронично).
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 09:51 , 30-Мрт-24 (123) +4
>Код активации бэкдора был спрятан в m4-макросах из файла build-to-host.m4Не удивлюсь, если во всех проектах на automake, включая rpm и firejail, такое происходит. Потому что automake - это специальное говно, к которому никто прикасаться и даже смотреть не будет. А те, кто упорствует в своей ереси по использованию automake - пособники бэкдорщиков.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 09:53 , 30-Мрт-24 (124) –1
>Активирующие бэкдор m4-макросы входили в состав tar-архивов релизов, но отсутствовали в Git-репозитории.Но идиотские дистры вроде Дебиана продолжат собирарь из архивов.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:38 , 30-Мрт-24 (193)
> Но идиотские дистры вроде Дебиана продолжат собирарь из архивов.Ага, а надо из апстрим репы исходного кода, да прямо из master ветки...
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:40 , 30-Мрт-24 (195) –1
Fedora, OpenSUSE тоже идиотские дистрибутивы?)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., сщта, 10:06 , 30-Мрт-24 (126) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:08 , 30-Мрт-24 (128) +3
Эта либа себя дискредитировала. Jia Tan коммитил в течение для двух лет и любой из этих коммитов не вызывает доверия. Нужна замена. Более надежная. Например написанная на расте.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:09 , 30-Мрт-24 (130) +1
В расте и обфусцировать бэкдор не надо будет - в коде просто никто и так не разберётся...
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:11 , 30-Мрт-24 (132)
Код уже написан и уже внедрен в какой-то мутный драйвер из 100 строк.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:17 , 30-Мрт-24 (139) +2
В расте нет такого древнего легаси как m4 скрипты. Там нормальная человекочитаемая система сборки.> в коде просто никто и так не разберётся Не судите, пожалуйста, по себе. Если вы неосилятор, это не значит всё тоже неосиляторы. Кто захочет - тот в разберется в коде.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:27 , 30-Мрт-24 (183)
Ты хотел сказать что на рсте вообще нет никакого продакшн кода.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 15:52 , 30-Мрт-24 (297) +1
>Там нормальная человекочитаемая система сборки.Тянущая всё с гитхабчика, ага. Ночью по CET/PST дядя Ляо сделал git push, дядя Ли запустил сборку растопакетика, маякнул Ляо сделать git push --force с отменой коммита и всё шито-крыто.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 18:55 , 30-Мрт-24 (321) +1
>Там нормальная человекочитаемая система сборки... 1. сама тянущая все зависимости, какие укажут разработчики пакетов укажут. и собирающая их -> гигантское дерево зависимостей совершенно произвольных версий, прибытых гвоздями, в нескольких экземпларах, и зачастую совершенно не нужных для программы, просто где-то указанных в зависимостях, а не пакетов из дистра. Не нравится - перепиши всю экосистему. 2. выполняющая произвольный код вов время сборки, какой разработчик любой зависимости укажет -> компрометация сборочной системы с инфицированием всего софта, на ней собираемого 3. статическая линковка —> огроменные жрущие бинари, в которых невозможно разобраться, проще выкинуть.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 16:50 , 31-Мрт-24 (368) +1
Кто захочет писать безопасно на Си - тот будет писать безопасно на Си. Неосиляторам же ничто не поможет, даже новый язык.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., jsforever, 17:26 , 31-Мрт-24 (373)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:54 , 30-Мрт-24 (157) –1
В расте не смогут разобраться только неосиляторы. Там гугл переучивает разработчиков которые писали на Го (на ГО, Карл!) и они осваивают раст за 2-3 месяца. И пишут нормальный код.Зато в расте не будет отстоя тим м4 и пробашпортянок.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:38 , 30-Мрт-24 (194)
Умник, ты хоть посмотри для чего использовался bash. Или ты из очередных "не читал, но осуждаю"?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 16:52 , 31-Мрт-24 (369)
Использование Хруста как-то мешает использовать в проекте m4 и bash? Выдыхай, бобер.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., jsforever, 17:28 , 31-Мрт-24 (374)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., microcoder, 23:26 , 30-Мрт-24 (341)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Анонм, 10:14 , 30-Мрт-24 (136) +5
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., нах., 12:50 , 30-Мрт-24 (231)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 15:55 , 30-Мрт-24 (299)
>Которые в последствии порождают (хотя честнее сказать высрыают) баш портянку такого видаТак ты не порождай. >Да за такой код, без комментариев "чего оно делает", нужно просто закрывать ПР без разговоров. Ты часом не питонист?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:16 , 30-Мрт-24 (138)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., сщта, 10:20 , 30-Мрт-24 (143)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., sqrt, 10:32 , 30-Мрт-24 (150) +8 [^]
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:09 , 30-Мрт-24 (164) –3
Сработали??? Ни один из копавшихся в исходниках этого не нашёл за два года. Эстонские глаза что ли?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:24 , 30-Мрт-24 (178) +1
5.6.0 Mon, 26 Feb 2024 07:47:01 +0100 - из чейнджлога Debian Sid. Где тут 2 года?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:07 , 30-Мрт-24 (212) –1
Почти год назад он отключил это. ifunc is not compatible with -fsanitize=address, so this should be disabled for fuzzing builds. Два года как он коммитит в этот проект. Зачем ты мне ченджлоги дебиан сид подбрасываешь? Мы про сам проект и тыщи глаз разговариваем.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 14:12 , 30-Мрт-24 (278)
Там была проведена многолетняя подготовка к внедрению бэкдора. Легендирование и всё такое, чем спецслужбы играются. Как видим не особо помогло - спустя ~месяц годы трудов псу под хвост пустили. Хотя я уверен, что всех, ради кого бекдор внедряли, уже поломали.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 14:45 , 30-Мрт-24 (285) +1
Так они только играются. Возьми несколько летней давности историю с университетом миннесоты. Сравни насколько схема была примитивней чем здесь. Здесь они даже пытались устранить последствия косяка из-за которого их могли заметить выпустив новую версию. Случайно человек заинтересовался почему сбои и случайно вышел на бэкдор. Этого могло и не быть. Возможно это просто очередной тестовый проект как внедрять бэкдоры. Работают начиная от технической части и заканчивая социальной. Дальше они наберут статистику и получат какими действиями, какими технологиями, за какое время посадить бэкдор с определённой вероятностью на срок ХХ лет.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 15:44 , 30-Мрт-24 (293)
Ненадёжно. Бэкдор в программе можно выпилить. А вот бэкдор в спецификации или экосистеме выпилить невозможно — вся экосистема сломается и её всю придётся переписать, а переписывать - лет 10, и всё это время придётся пользоваться забекдоренной. При этом обязательно найдутся те, кто скажут, что их бекдор ни капли не беспокоит, и будут делать свои дела дальше, получая преимущество и развивая забекдоренную экосистему.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:25 , 30-Мрт-24 (180) +1
А в проприетарных типа всё всегда находится? Ты это, переставай употреблять!
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:30 , 30-Мрт-24 (188)
> А в проприетарных типа всё всегда находится?А какая нам разница что там у проприетарных? И почему тебя это вообще беспокоит? Ты что виндузятник? Или вообще маковод??
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 16:47 , 30-Мрт-24 (309)
В том что метод тысячи глаз работает и сработал. То что у него есть время реакции ненулевое так это у всего в этом мире так. А в проприетари уязвимости бай дизайн и даже такие каких производитель не закладывал.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 23:20 , 30-Мрт-24 (340) +1
Двойные стандарты что бы защитить свой мирок? Понимаю. Там нашли бэкдор и опубликовали у мс - да всем понятно, сколько ещё скрыто никто не найдёт. Случайно наткнулись. Не то что в опенсорс. Там нашли бэкдор в опенсорсе - видите как тысяча глаз работает, случайно случайный человек полез и нашёл закрытый бинарник. Некоторые скаллнеты пошли дальше. Вообще напрямую обвиняют мс - они же и подсаживают баги в опенсурс. Твоё байдизайн не выдерживает никакой критики. Точно так же можно сказать про дыры в ПО и вообще дыры в голове тех кто делает опенсурс. А ещё фарфоровый чайничек летает на орбите.Это процесс построен как Г. Где глаза тех кто участвовал в разработке совместно с этим Ли? Где глаза тех что отключали проверки? Где глаза тех кто забирал это в дистрибутивы и собирал? Где глаза тех кто патчил ссш для втягивание туда системд? Где наконец-то глаза тех тысяч случайных людей которые всегда могут посмотреть с целью интереса в исходники и понять что там? А всё открыл человек из мс который пошёл смотреть интересную ситуацию, по совершенно не его задаче. И пошёл он смотреть не в исходники в начале.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:39 , 30-Мрт-24 (151) +1
Не, тут к сожалению не только это.Чел сначала предложил коммит с отключением фаззинг тестирования. И его конечно ̶з̶а̶р̶е̶д̶ж̶е̶к̶т̶и̶л̶и̶ ̶и̶ ̶п̶о̶п̶р̶о̶с̶и̶л̶и̶ ̶и̶с̶п̶р̶а̶в̶и̶т̶ь̶ ̶е̶г̶о̶ ̶к̶о̶д̶ приняли. Ну а фигли? Зачем нам тестирование!? Мы ж профи, а профи ошибок не делают. Потом он добавлял коммит с таким комментарием: The original files were generated with random local to my machine. To better reproduce these files in the future, a constant seed was used to recreate these files. И это тоже никого не смутило. Я уже молчу про использование инструментов, которые старше половины опеннета (m4) и создание с их помощью просто вырвиглазных баш-портянок. А вот тысяча глаз тут уже на последнем месте. Они смогли всего за 2 месяца обнаружить)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., zeecape, 10:27 , 30-Мрт-24 (145) +3
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Анонм, 10:32 , 30-Мрт-24 (149)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:14 , 30-Мрт-24 (167) [V]
Ты нам только что рассказал о плачевном состоянии программирования в России, спасибо тебе.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:23 , 30-Мрт-24 (177)
Сказать то чего хотел. Если тот же самый китаец захотел бы внедрит бекдор в коде на рсте он бы его внедрил. Точно так же некто бы и слова не сказал.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 16:58 , 31-Мрт-24 (370)
Так по просьбе какого-то васяна и unsafe-обертки заапрувят и вся хваленая безопасность псу под хвост.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 10:51 , 30-Мрт-24 (155) +3
О, история становится еще интереснее! Чел поучаствовал во многих проектах. Например в libarchive. Где он создал ПР в котором заменил safe_fprintf на fprintf. https://github.com/libarchive/libarchive/pull/1609/filesИЧСХ этот ПР приняли! Вообще без какого-то обсуждения. А не спросили "какого?!". Но для проекта C 89.6%.. впрочем, я совершенно не удивлен)) И оно жило спокойно с ноября 2021 года, до сегодняю. Код ревертнули девять часов назад.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:10 , 30-Мрт-24 (165)
Ну, libarchive кривое, не страшно. Её никто в своём уме не будет использовать. А вот от сабжа зависят примерно все, круче только zlib.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:17 , 30-Мрт-24 (170) +2
>ИЧСХ этот ПР приняли! Вообще без какого-то обсуждения."самое слабое звено в системе безопасности — это человек" (с) Кевин Митник
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:34 , 30-Мрт-24 (190)
>Но для проекта C 89.6%.. впрочем, я совершенно не удивлен))Это же какую логику нужно иметь, чтобы связать прием патча с изменения в коде с языком программирования? Типа в проектах на Си патчи не проверяют, а в проектах на Go, Rust каждый патч с лупой проверяет 100500 человек?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:44 , 30-Мрт-24 (198)
> Типа в проектах на Си патчи не проверяют, а в проектах на Go, Rust каждый патч с лупой проверяет 100500 человек?Типа если люди пишут на Си, им как правило, глубоко плевать на безопаснось.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:49 , 30-Мрт-24 (201) –1
Не знаю как в GO, но в раст все принты по умолчанию safe. А чтобы сделать ансейф принт, нужно внезапно писать unsafe и потом еще хорошо постараться.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:01 , 30-Мрт-24 (209) +1
Думаешь китаец испугался бы слова unsafe и не сделал бы коммит? БезопасТность уровень желтая ленточка.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:19 , 30-Мрт-24 (216) –1
А это зависит от разных вариантов. Например есть либы (в расте) которые помечены #![forbid(unsafe_code)] что запрещает использование unsafe.Понятно это не защитит от "автор либы сам внес бекдор", но тут чел был не главным мейнтенером.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 15:57 , 30-Мрт-24 (300)
>Понятно это не защитит от "автор либы сам внес бекдор", но Но тебе захотелось попиариться, вот же ж незадача.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 17:04 , 31-Мрт-24 (372)
>это не защитит от "автор либы сам внес бекдор"На этом обсуждение можно было и закончить.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., jsforever, 18:42 , 31-Мрт-24 (379)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:08 , 30-Мрт-24 (213) –1
- Удалённо эксплуатируемая уязвимость в драйвере NVMe-oF/TCP из состава ядра Linux opennet.ru/opennews/art.shtml?num=59940- Уязвимости в модуле ksmbd ядра Linux, позволяющие удалённо выполнить свой код opennet.ru/opennews/art.shtml?num=59189 - Уязвимость в NTFS-драйвере из состава GRUB2, позволяющая выполнить код https://www.opennet.me/opennews/art.shtml?num=59868 - Обход шифрования диска в Linux через непрерывное нажатие клавиши Enter https://www.opennet.me/opennews/art.shtml?num=59702 Как вообще такой код проходил ПР? Возможно разработчики на определенных языках действительно забивают на безопасность?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 16:00 , 30-Мрт-24 (301) +1
>Как вообще такой код проходил ПР? Всё просто - в ПР/МР делают придирки к неймингу, стилю кодирования, не сопадающим с таковым у автора, стикерам на макбуке, а на то, чтобы код работал хоть до, хоть после предложений ревьюера, обычно не смотрят. На какую-либо безопасность не смотрят тем более.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Oe, 12:53 , 30-Мрт-24 (234) –1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 23:18 , 30-Мрт-24 (339)
Эту историю читаешь и плакать хочется.Один из коммитов етого псевдокитайца в oss-fuzz: ревьювер: LGBT^WLGTM (прошло два года, гром грянул, мужик^Wревьювер перекрестился) тот же ревьювер: actually, it's no LGTM. Ну вот и чо им скажешь, кроме как застрелиться у них на глазах?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:17 , 30-Мрт-24 (169)
Заметьте: изменения были введены после обязательного введения 2FA на GitHub (не подумайте, что с целью усиления "безопасности", до очень недавнего времени без активации 2FA можно было пушить в репозитории, к которым есть доступ, да и сейчас наверное при пуше используется только 1 фактор, а с целью продвижения FIDO2 - бэкдорнутого стандарта, придуманного с целью навязывания продуктов членов Альянса, завязывания аутентификации на них и сбора биометрии). Как я и предупреждал, от сопровождающего-вредителя, а равно — коммерсанта, продавшего проект за круглую сумму, а равно "патриота" государства, в котором живёт и получает зарплату ничего не поможет, а равно просто фраера-лоха, которому сделали предложение, от которого невозможно отказаться: в общем случае от supply chain-атаки, где "легитимный" сопровождающий делает вредоносные изменения, не спасёт ничего. А "Jia Tan" — это просто кукла из носка, которая на руку одевается, как в "Улице Сезам", чтобы смягчить последствия для сопровождающих, что типа Шоколад ни в чём не уиноуат!Все авторы забекдоренных проектов должны рассматриваться как соучастники.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:25 , 30-Мрт-24 (179) –1
Вполне вероятно, что и петрушка, и вероятно даже не один действовал, но при чём тут авторы? Будто, это впервые происходит. Хоть решение отключить проверки и защиты выглядит подозрительно, но этого недостаточно, чтобы что-либо утверждать.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:42 , 30-Мрт-24 (197) +4
>этого недостаточно, чтобы что-либо утверждать.А это не мы должны предоставлять железобетонные доказательства, что автор/сопровождающий сохранил свою репутацию. Это его репутация — ему её и беречь. А он — не сберёг. С нашей же стороны мы вольны руководствоваться его репутацией для принятия решений. И совершенно не важно, виноват ли сопровождающий в действительности, или его подставили. Нам ведь плевать на сопровождающего, "кого иппёт чужое горе", нам важна наша безопасность. При таком подходе имеет смысл исключать компонент, несущий риски, вне зависимости от того, виновен ли он в действительности, или просто халатен — было бы выгодно полное закрытие скомпрометированных проектов, либо переход их под более ответственных сопровождающих. К сожалению рынок внесёт коррективы: по демпинговым ценам ($0, бесплатно, даром, бойтесь данайцев, дары приносящих) большинство устроит и заведомо забекдоренный проект, а конторы для себя и форк сделают, и с сообществом не поделятся.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:50 , 30-Мрт-24 (202) +1
Насчёт закрытия — я всегда думал, что liblzma - это часть 7zip. Особенно учитывая то, что автор алгоритма LZMA - это Игорь Павлов. Почему эта либа до сих пор ставится не из первоисточника, не из форка-порта первоисточника p7zip, а из мутного порта не пойми кого — вопрос открытый.Что не отменяет необходимость упразднения autotools в 7zip.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:59 , 30-Мрт-24 (206) +1
Похоже ты не понимаешь сути проблемы в сабже. Проблема что в трояне был баг, который аффектил в валгриде, а не то что троян впринципе был. Если троян был это кого надо троян. И они его ещё раз вставят куда надо и ты его никогда не найдешь за обозримое время. По сути проблема исполнителя.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:17 , 30-Мрт-24 (215)
>И они его ещё раз вставят куда надо и ты его никогда не найдешь за обозримое время. По сути проблема исполнителя.Именно, поэтому авторам xz, libarchive и прочим скомпрометированным — никакого доверия.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Oe, 12:35 , 30-Мрт-24 (222) –3
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:56 , 30-Мрт-24 (237)
Ты не понимаешь, как программы работают. То, что ты хочешь, недостижимо практически с современными технологиями, либо осуществимо, но принесёт неоправданно большие накладные расходы. Да и, к примеру, в микроядерных системах в памяти может быть независимый изолированный декодер сжатых данных, но доверяться ему софту всё равно придётся: ты не можешь проконтролировать, что данные не были изменены в процессе. Аппаратное шифрование тут особенно помогает заметать следы и нет возможности проконтролировать происходящее.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:22 , 30-Мрт-24 (218)
>Похоже ты не понимаешь сути проблемы в сабже. Проблема что в трояне был баг, который аффектил в валгриде, а не то что троян впринципе былЭто - для бекдорщиков проблема, что обнаружили. Проблемы индейцев шерифа не волнуют. А для нас же проблема, что 1) были созданы условия для скрытия бэкдора - сопровождающим 2) бэкдор был внедрён 3) при участии сопровождающего.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Oe, 12:39 , 30-Мрт-24 (224)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:54 , 30-Мрт-24 (236)
Нет, не смущает, так как права выдаются не либе, а процессу, а в одном контексте разделение привелегий аппаратно не предусмотрено. Выдачу прав либам в принципе можно сделать, если избавиться от native-кода, но вам такое решение не понравится.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:05 , 30-Мрт-24 (240) +2
> после обязательного введения 2FA на GitHub [...] с целью продвижения FIDO2 - бэкдорнутого стандарта, придуманного с целью навязывания продуктов членов Альянса, завязывания аутентификации на них и сбора биометрииПодавляющее количество людей использует TOTP для 2FA. Где ты тут учуял продвижение FIDO2? > Как я и предупреждал, от сопровождающего-вредителя [...] ничего не поможет Ну так 2FA и не для этого нужен. К чему ты его упомянул?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:21 , 30-Мрт-24 (251) –1
>Где ты тут учуял продвижение FIDO2?Использование TOTP сделано максимально неудобным, а в случае с FIDO2 вообще разрешено обходиттся одним фактором — "аутентификатором" (устройство, либо программная реализация с поддержкой passkeys) по стандарту. То есть оказывают давление, чтобы использовали именно FIDO2. А Micro$oft - сама стейкхолдер на рынке FIDO2-аутентификаторов и их компонентов. >Ну так 2FA и не для этого нужен. К чему ты его упомянул? 2FA никак не поможет защититься от атаки на цепочку поставки. Но именно под предлогом "обезопашивания цепочек поставки" его навязывают на GitHub, вместо того, чтобы явно сказать, что у M$ есть свои бизнес-интересы в трансформации экосистемы и сообщества нужным для M$ образом, и что M$ не гнушаются потратить ценность GitHubа как хостинга исходников на этот проект.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Анонми, 20:22 , 30-Мрт-24 (326)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 01:05 , 31-Мрт-24 (343)
1. Да, неудобно. Можно на JS написать аутентификатор, но лучше свалить из этого б.......о цирка, чем быть клоуном у п.......в. 2. При "пасскеях" устройство-аутентификатор есть единственный фактор, пароль не нужен, главное чтобы от нужного вендора был.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 11:29 , 30-Мрт-24 (186)
Libselinux также поддерживает liblzma и связывается с гораздо большим количеством программ, чем libsystemd.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:48 , 30-Мрт-24 (229)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:53 , 30-Мрт-24 (235) +1
Смешно если честно, это предложение больше на вброс или троллинг похоже.> There must be a website or a central authority Сейчас же набегут со словами "а почему мы вообще должны доверять шапке?" И начнут делить кому можно доверять, а кому нет. > which includes known to be good/safe/verified/vetted open source packages Кто их будет верифицировать? Даже у RHEL нет таких ресурсов. > along with e.g. SHA256/384/512/whatever hashes of the source tarballs. Как это поможет, если из затрояненых сорцов будет собран такой же бинарь? Суммы все сойдутся, а толку будет ноль. Я бы закрыл такое предложение "А давайте чтобы было хорошо и не было плохо" как notabug
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 14:09 , 30-Мрт-24 (277)
> Я бы закрыл такое предложение "А давайте чтобы было хорошо и не было плохо" как notabugБолее того, "А давайте *вы там кто-нибудь* сделаете, чтобы было хорошо, *а мне неохота даже разбираться* кому и как это предложение направить." Да и само предложение нерабочее, т.к. разные дистрибутивы могут иметь разные критерии по включению тех или иных пакетов. А на роль "козлов отпущения" с верифицированным адресом желающих, ясное дело, не найдется.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:00 , 30-Мрт-24 (238) +3
> бэкдор был спрятан в m4-макросах .. инструментарием automakeВот он - Linux way!
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., й, 13:23 , 30-Мрт-24 (253) +3
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., crypt, 13:24 , 30-Мрт-24 (254) +1
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:27 , 30-Мрт-24 (257) +1
>В 2021 году Jia Tan передал изменение в проект libarchiveMicrosoft has signaled it will add native support for tar, 7-zip, rar, gz and "many other" archive file formats to Windows - it's used the libarchive open source project https://www.theregister.com/2023/05/24/microsoft_rar_support.../ >Jia Tan несколько дней назад был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux Однако, это серьезный провал китайской киберразведки. Столько сил и лет потрачено на внедрение своего человека.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:33 , 30-Мрт-24 (261)
А почему китайской? Скорее всего околополяки какие-нибудь, как обычно.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., mikhailnov, 14:17 , 30-Мрт-24 (280)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 23:04 , 30-Мрт-24 (338) +2
> Однако, это серьезный провал китайской киберразведки. Столько сил и лет потрачено на внедрение своего человека.Единственно, что свой человек время от времени лажался и коммитил с таймзоной EET и сопутствующими переводами часов. А также чтил христианские праздники типа рождества. А китайские, наоборот, не соблюдал. А так вылитый китаец, чо.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:30 , 30-Мрт-24 (259) +1
То, что никто не проверяет соответствие релизных архивов реальным данным в дереве, достаточно удивительно на самом деле. Хотя и не это проблема тут, но изменение моментально бы обнаружилось. А то до воспроизводимых сборок и подписанных блобов додумались, а до воспроизводимых блобов с исходниками нет.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 13:48 , 30-Мрт-24 (271) +1
Несоотвествие в порядке вещей для autocrap. Там при подготовке релизного архива всегда куча мусора напихивается. Реально десятки тысяч строк скриптов могут добавиться. Идеальное место, чтобы вот такое спрятать.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 14:05 , 30-Мрт-24 (276)
А зачем проверять, если можно просто git юзать? Но ведь не юзают. Чую, когда так начнут делать, может вылезти уязвимость с коллизиями в SHA-1: все форки в GitHub на самом деле живут в одном репозитории, соответственно интересно, что произойдёт, если форкнуть репозиторий и force push коллизию в свою ветку, по идее подменится в апстриме. Нужно срочно на 256 переходить, а в git так и не реализовали передачу таких репозиториев по сети.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 15:39 , 30-Мрт-24 (291) +1
Проблема "зашита" в libsystemd: ldd /lib/x86_64-linux-gnu/libsystemd.so.0 linux-vdso.so.1 (0x00007ffea1bfd000) librt.so.1 => /lib/x86_64-linux-gnu/librt.so.1 (0x00007fe963f05000) liblzma.so.5 => /lib/x86_64-linux-gnu/liblzma.so.5 (0x00007fe963edc000) liblz4.so.1 => /lib/x86_64-linux-gnu/liblz4.so.1 (0x00007fe963ebb000) libgcrypt.so.20 => /lib/x86_64-linux-gnu/libgcrypt.so.20 (0x00007fe963d9d000) libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007fe963d7a000) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fe963b88000) /lib64/ld-linux-x86-64.so.2 (0x00007fe963fd6000) libgpg-error.so.0 => /lib/x86_64-linux-gnu/libgpg-error.so.0 (0x00007fe963b63000) Т.е. аналогичный бакдор можно было внедрить в liblz4.so, или libgpg-error.so.Этой схеме подвержены любые сервисы, слинкованные с libsystemd.so и выполняющие авторизацию pubkey. При загрузке libsystemd.so загружаются зависимые либы и, в случае трояненой liblzma.so, происходила подмена для sshd функции "RSA_public_decrypt" (низкий поклон systemd). Просто автор бакдора ограничил работу только sshd (проверка argv[0] = /usr/sbin/sshd)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 15:47 , 30-Мрт-24 (295)
Нужно решение на базе линкера, запрещающее динамически линковать 2 либы с конфликтующими именами символов кроме как через LD_PRELOAD. Разумеется, не поможет, ибо сплайсинг никто не отменял, но всё же.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Ананоним, 15:53 , 30-Мрт-24 (298)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 16:06 , 30-Мрт-24 (304)
>Нужно решение на базе линкера, запрещающее динамически линковать 2 либы с конфликтующими именами символов кроме как через LD_PRELOAD.А как я буду malloc заменять?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 18:33 , 30-Мрт-24 (315)
>запрещающее динамически линковать 2 либы с конфликтующими именами символовТы думаешь, что когда при сборке sshd с ним линковался libsystemd.so, ликер будет смотреть символы во вторично зависимой liblzma.so.5?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 18:34 , 30-Мрт-24 (316)
Всегда знал, что баш-портянки, регулярные выражения и всякие прочие нечитаемые недоязыки (типа Makefike) - это зло. Если бы выкинули это легаси родом из 70-х и пререшли на нормальную систему сборки (хоть CMake) - проблемы бы не было.Вообще легаси нужно чистить периодически, а то в мусорной куче заводятся крысы и прочие паразиты.
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 02:45 , 31-Мрт-24 (346)
Всегда знал, и не исправил... Может ты специально ничего не зделал?
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Легивон, 10:59 , 31-Мрт-24 (361)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Аноним, 12:36 , 01-Апр-24 (403)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Berkut, 03:22 , 31-Мрт-24 (348)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., IdeaFix, 10:07 , 31-Мрт-24 (355)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Пряник, 09:59 , 01-Апр-24 (400)
- В библиотеке xz/liblzma выявлен бэкдор, организующий вход че..., Пряник, 10:01 , 01-Апр-24 (401)
|