Comments | avva: лазейка имени фройнда

avva

лазейка имени фройнда

Mar 30, 2024 16:05

В мире компьютерной безопасности сегодня интересный день. Точнее, он начался вчера вечером, когда немецкий разработчик Андрес Фройнд опубликовал отчет о тайной лазейке (бэкдор), которую он обнаружил в новых версиях широко используемой библиотеки для сжатия liblzma (часть архиватора xz). Лазейка позволяет взломщикам заходить через SSH на системы, в ( Read more... )

компьютеры

Comments 32

gul_kiev March 30 2024, 13:35:39 UTC

Возможно, этот бекдор пытались пропихнуть (или даже пропихнули?) непосредственно в linux kernel:
https://lore.kernel.org/lkml/20240320183846.19475-1-lasse.collin@tukaani.org/t/#rf7c60267e54d4cd698fbb92cdda649425ff229d3

scrucis March 30 2024, 13:51:16 UTC

Еще интересный вопрос: сколько такого добра может быть в закрытом коде, принадлежащем корпорациям? Ведь там только внутренний контроль, на котором, конечно, жестко экономят и код, который спихнули для разработки субподрядчикам, контракторам и т.д. Никаких зануд-тестеров, срывающих сроки, там нет или, во всяком случае, им живется несладко.
А вообще тема для искусственного интеллекта: распознавать изменения поведения при автоматических тестах новых версий.

ext_5703576 March 30 2024, 14:11:46 UTC

Вот да, постоянные scans & compare

r3po March 31 2024, 13:28:33 UTC

Внутрикорпоративный код на 99% состоит из костылей на изоленте, потому что минимальные ФОТ и сроки - главные KPI для менеджеров. Ситуацию некоторым образом спасает только то, что вопреки мнению параноиков, эти корпоративные поделки для хакеров никакого интереса не представляют.
Искуственный интеллект, который будет срывать сроки, закончит так-же, как и зануды-тестеры.

ext_5703576 March 30 2024, 14:10:01 UTC

Wow ..

ext_666046 March 30 2024, 14:19:20 UTC

>эта добавка прячется в конфигурационной магии autoconf, которую все ненавидят лютой ненавистью и никто никогда не заглядывает внутрь

Какая богатая идея! За 20+ лет использования autoconf - каюсь, ни разу не заглянул в то, что же он генерит

livelight March 30 2024, 14:48:39 UTC

Хорошо в мире линукс: пол секунды задержки - и все сразу на ушах стоят, причину ищут. В мире повебени или андроедов всем пох.

vladimir000 March 30 2024, 15:13:07 UTC

Не все, но один энтузиаст нашелся - чем собственно опен-сообщество и сильно!

Но, надо сказать, сделано с размахом и изяществом, интересно сколько еще таких закладок установлено. По заветам Ричи (?), начинать надо с компилятора...

yba March 30 2024, 16:13:07 UTC

По заветам Кена Томпсона

vladimir000 March 30 2024, 18:51:45 UTC

Верю. наверняка забыл. Вообще инересно было бы перекомпилисть весь проект не под gcc

Thread 7