Linux 15.036 Themen, 107.107 Beiträge

mawe2 andy11 „Das hätte der Genickschuss werden können“
Optionen

Wie oft schon wurde hier Closed Source als die Hauptursache für die schweren Sicherheitsprobleme unserer Zeit dargestellt und Open Source als Lösung dieser Probleme?

Und nun ist es ausgerechnet ein Mitarbeiter eines (primär) Closed Source herstellenden Anbieters (Microsoft), der auf eine Sicherheitslücke in einer Open Source Software aufmerksam wird...

bei Antwort benachrichtigen
andy11 mawe2 „Wie oft schon wurde hier Closed Source als die Hauptursache für die schweren Sicherheitsprobleme unserer Zeit dargestellt ...“
Optionen
, der auf eine Sicherheitslücke in einer Open Source Software aufmerksam wird...

Weil seine sechs, meinetwegen auch sieben, Sinne in diesem Moment

hellwach waren. Jeder von uns hier merkt, wenn ein Vorgang am PC

ungewöhnlich lange dauert. Allerding würde ich mich nicht ungeübt mit

einer halben Sekunde anlegen. Andy

Alle Menschen sind klug ? die einen vorher, die anderen nachher. Voltaire
bei Antwort benachrichtigen
swiftgoon andy11 „Weil seine sechs, meinetwegen auch sieben, Sinne in diesem Moment hellwach waren. Jeder von uns hier merkt, wenn ein ...“
Optionen
Weil seine sechs, meinetwegen auch sieben, Sinne in diesem Moment hellwach waren.

Gebt dem Mann einen Orden und eine Gehaltserhöhung.
Wahnsinn was da hätte passieren können.
Liest sich wie ein Krimi.
Wenn künftig dann Software von KI entwickelt wird, kann das heiter werden.

Mir tut der Entwickler leid, der so aufs Kreuz gelegt wurde.
Der opfert seine Zeit für ein OpenSource Projekt und wird dann so hintergangen, die arme Sau.

bei Antwort benachrichtigen
winnigorny1 swiftgoon „Gebt dem Mann einen Orden und eine Gehaltserhöhung. Wahnsinn was da hätte passieren können. Liest sich wie ein Krimi. ...“
Optionen
Wenn künftig dann Software von KI entwickelt wird, kann das heiter werden.

Es kommt noch viiieel dicker. Lies mal das hier. Bin ich erst gestern drauf gestoßen. Das kling wirklich gruselig. Wenn das Ding auf die Menschheit losgelassen wird, dann gute Nacht....:

https://www.tu-darmstadt.de/universitaet/aktuelles_meldungen/archiv_2/2021/2021quartal1/news_archiv_de_296513.de.jsp

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Borlander mawe2 „Wie oft schon wurde hier Closed Source als die Hauptursache für die schweren Sicherheitsprobleme unserer Zeit dargestellt ...“
Optionen
Closed Source als die Hauptursache für die schweren Sicherheitsprobleme unserer Zeit dargestellt und Open Source als Lösung

Wenn er ein auf auffälliges Zeitverhalten bei einer ClosedSource-Software entdeckt hätte, dann wäre die Geschichte an der Stelle zu Ende gewesen. Weil praktisch keine (legale) Möglichkeit bestanden hätte, der Ursache auf den Grund zu gehen.

Und eine Supportanfrage zu sowas landet bei kommerzieller Software i.d.R. in der Tonne, weil es kein unabstreitbarer Fehler ist.

bei Antwort benachrichtigen
mawe2 Borlander „Wenn er ein auf auffälliges Zeitverhalten bei einer ClosedSource-Software entdeckt hätte, dann wäre die Geschichte an ...“
Optionen
Wenn er ein auf auffälliges Zeitverhalten bei einer ClosedSource-Software entdeckt hätte, dann wäre die Geschichte an der Stelle zu Ende gewesen.

Ich gehe trotzdem davon aus, dass es für einen Angreifer schwieriger sein dürfte, sich in ein reguläres Unternehmen einzuschleichen als bei einem einzelnen (, überlasteten) Entwickler, der eben gern die angebotene Hilfe annimmt.

bei Antwort benachrichtigen
Borlander mawe2 „Ich gehe trotzdem davon aus, dass es für einen Angreifer schwieriger sein dürfte, sich in ein reguläres Unternehmen ...“
Optionen

Es wird doch teilweise vermutet, dass Geheimdienste dahinter stecken können. Und es ist ohne Frage eine ganze Menge Aufwand in die Aktion geflossen. Das sich auch jemand in ein  Unternehmen einschleicht ist nicht so extrem abwegig und in der Vergangenheit durchaus schon passiert.

Und soweit ich das gelesen habe, hat der bestehende Entwickler nicht unbedingt drauf gewartet, das jemand anderes das Projekt übernimmt.

bei Antwort benachrichtigen
mawe2 Borlander „Es wird doch teilweise vermutet, dass Geheimdienste dahinter stecken können. Und es ist ohne Frage eine ganze Menge ...“
Optionen
Das sich auch jemand in ein  Unternehmen einschleicht ist nicht so extrem abwegig und in der Vergangenheit durchaus schon passiert.

Das ist schon richtig.

Mit genügend großem Aufwand (und finanziellen Mitteln) ist alles möglich.

Stellt sich nur noch die Frage: Mit welchem konkreten Ziel wurde gerade hier dieser enorme Aufwand (von wem auch immer) betrieben?

Und soweit ich das gelesen habe, hat der bestehende Entwickler nicht unbedingt drauf gewartet, das jemand anderes das Projekt übernimmt.

Für mich liest sich der Artikel so, dass gerade Entwickler im Open-Source-Sektor häufig an extrem wichtigen, weit verbreiteten Komponenten arbeiten, ohne dafür überhaupt genügend Ressourcen zu besitzen und ohne dafür adäquat vergütet zu werden.

Und das ist nicht der erste Artikel, der dies berichtet.

Dann sind solche Leute natürlich auch extrem anfällig für diese Art von "Hilfe"!

Insofern muss man sich eben doch immer wieder die Frage stellen, ob man essentielle Software auf einer solchen Grundlage überhaupt auf Dauer verantwortungsvoll (hier wird es "nachhaltig" genannt) produzieren kann?

bei Antwort benachrichtigen
Borlander mawe2 „Das ist schon richtig. Mit genügend großem Aufwand und finanziellen Mitteln ist alles möglich. Stellt sich nur noch die ...“
Optionen
Mit welchem konkreten Ziel wurde gerade hier dieser enorme Aufwand (von wem auch immer) betrieben?

Die Möglichkeit auf diesem Wege einen SSH-Zugang zu extrem vielen System zu erlangen macht es schwer ein einzelnes konkretes Ziel zu benennen. Wobei diese großflächige Zugangsmöglichkeit - nur für den oder die Angreifer nutzbar - sehr wertvoll gewesen wäre.

bei Antwort benachrichtigen
Borlander mawe2 „Das ist schon richtig. Mit genügend großem Aufwand und finanziellen Mitteln ist alles möglich. Stellt sich nur noch die ...“
Optionen
dass gerade Entwickler im Open-Source-Sektor häufig an extrem wichtigen, weit verbreiteten Komponenten arbeiten, ohne dafür überhaupt genügend Ressourcen zu besitzen und ohne dafür adäquat vergütet zu werden.

Das kommt in der Tat vor.

Dann sind solche Leute natürlich auch extrem anfällig für diese Art von "Hilfe"!

Das lässt sich auch nicht so pauschal sagen. Und als Open-Source-Entwickler will man auch nicht unbedingt, dass irgendein Unbekannter dran herum pfuscht und Dinge tut die den eigenen Visionen entgegen stehen.

ob man essentielle Software auf einer solchen Grundlage überhaupt auf Dauer verantwortungsvoll (hier wird es "nachhaltig" genannt) produzieren kann?

Das ist eine durchaus berechtigte Frage, wobei ich da heute vor allem auch das Risiko von in einigen Umgebungen extrem hoher Anzahl von indirekte eingebundenen Abhängigkeiten gegeben ist. Im Fall von Node.js ist es nicht so exotisch, dass ein einzelnes Projekt am Ende insgesamt eine 5-stellige Anzahl von Bibliotheken einbindet, die teilweise nur Trivialaufgaben erfüllen. Da hat niemand mehr eine seriöse Chance den Überblick zu behalten.

Siehe dazu auch https://xkcd.com/2347/

bei Antwort benachrichtigen
mawe2 Borlander „Das kommt in der Tat vor. Das lässt sich auch nicht so pauschal sagen. Und als Open-Source-Entwickler will man auch nicht ...“
Optionen
Siehe dazu auch https://xkcd.com/2347/

Sehr schön!

bei Antwort benachrichtigen
gelöscht_355647 andy11 „Das hätte der Genickschuss werden können“
Optionen

Das ist keine Frage von Open Source vs. Closed Source, sondern der "Qualitätsprüfung". Die hat hier zum Glück funktioniert.

Zum Thema:

Beitrag 1

Beitrag 2

Mastodon von Kuketz

Durch die dilettantische Vorgehensweise, um das Paket so schnell wie möglich in´s Maintaining und die "lahme" Ausführung des Codes ist es letzten Endes doch aufgefallen, bevor alle Distributionen betroffen sind.

Die Vorgehensweise (Key- und Sicherheitsabfragen manipuliert, Angriff über mehrere Stages + RCE usw.) spricht für eine Organisation.

Wer jetzt gegen Open Source rantet, sollte sich dabei überlegen, wieviele CVE in Closed Source und proprietärer Hard- und Software verbaut sind, die teils bekannt sind und nicht einmal gefixt werden trotz maximaler Einstufung oder nie bekannt oder ebenfalls vorsätzlich angelegt werden und ausgenutzt werden können. Haben die "Experten" wieder Futter für Scheindebatten z.B. über Closed vs. Open.

Fakt 1: Software ist nie sicher!

Fakt 2: Hier wurde bewusst eine Lücke geschaffen!

Wer seine Version prüfen will:

xz --version

Anfällig ist 5.6.0 und 5.6.1.

bei Antwort benachrichtigen
mawe2 gelöscht_355647 „Das ist keine Frage von Open Source vs. Closed Source, sondern der Qualitätsprüfung . Die hat hier zum Glück ...“
Optionen
Das ist keine Frage von Open Source vs. Closed Source, sondern der "Qualitätsprüfung". Die hat hier zum Glück funktioniert.

Es war der pure Zufall, dass die Qualitätsprüfung "funktioniert" hat.

In anderen Fällen wird es solche Zufälle eben nicht geben.

bei Antwort benachrichtigen
st.lu gelöscht_355647 „Das ist keine Frage von Open Source vs. Closed Source, sondern der Qualitätsprüfung . Die hat hier zum Glück ...“
Optionen
Wer seine Version prüfen will:
xz --version

und/oder

xz -V

Bei mir hab ich 5.2.4

Also noch vor den Manipulationen (nach allen vorliegenden Infos bis jetzt).

Gruß

bei Antwort benachrichtigen