Unglaublich:
https://www.heise.de/blog/Aktenzeichen-XZ-ungeloest-9678531.html
Ein Video dazu:
https://www.youtube.com/watch?v=CQcv6f1qKA4
Andy
Unglaublich:
https://www.heise.de/blog/Aktenzeichen-XZ-ungeloest-9678531.html
Ein Video dazu:
https://www.youtube.com/watch?v=CQcv6f1qKA4
Andy
Wie oft schon wurde hier Closed Source als die Hauptursache für die schweren Sicherheitsprobleme unserer Zeit dargestellt und Open Source als Lösung dieser Probleme?
Und nun ist es ausgerechnet ein Mitarbeiter eines (primär) Closed Source herstellenden Anbieters (Microsoft), der auf eine Sicherheitslücke in einer Open Source Software aufmerksam wird...
, der auf eine Sicherheitslücke in einer Open Source Software aufmerksam wird...
Weil seine sechs, meinetwegen auch sieben, Sinne in diesem Moment
hellwach waren. Jeder von uns hier merkt, wenn ein Vorgang am PC
ungewöhnlich lange dauert. Allerding würde ich mich nicht ungeübt mit
einer halben Sekunde anlegen. Andy
Weil seine sechs, meinetwegen auch sieben, Sinne in diesem Moment hellwach waren.
Gebt dem Mann einen Orden und eine Gehaltserhöhung.
Wahnsinn was da hätte passieren können.
Liest sich wie ein Krimi.
Wenn künftig dann Software von KI entwickelt wird, kann das heiter werden.
Mir tut der Entwickler leid, der so aufs Kreuz gelegt wurde.
Der opfert seine Zeit für ein OpenSource Projekt und wird dann so hintergangen, die arme Sau.
Wenn künftig dann Software von KI entwickelt wird, kann das heiter werden.
Es kommt noch viiieel dicker. Lies mal das hier. Bin ich erst gestern drauf gestoßen. Das kling wirklich gruselig. Wenn das Ding auf die Menschheit losgelassen wird, dann gute Nacht....:
Closed Source als die Hauptursache für die schweren Sicherheitsprobleme unserer Zeit dargestellt und Open Source als Lösung
Wenn er ein auf auffälliges Zeitverhalten bei einer ClosedSource-Software entdeckt hätte, dann wäre die Geschichte an der Stelle zu Ende gewesen. Weil praktisch keine (legale) Möglichkeit bestanden hätte, der Ursache auf den Grund zu gehen.
Und eine Supportanfrage zu sowas landet bei kommerzieller Software i.d.R. in der Tonne, weil es kein unabstreitbarer Fehler ist.
Wenn er ein auf auffälliges Zeitverhalten bei einer ClosedSource-Software entdeckt hätte, dann wäre die Geschichte an der Stelle zu Ende gewesen.
Ich gehe trotzdem davon aus, dass es für einen Angreifer schwieriger sein dürfte, sich in ein reguläres Unternehmen einzuschleichen als bei einem einzelnen (, überlasteten) Entwickler, der eben gern die angebotene Hilfe annimmt.
Es wird doch teilweise vermutet, dass Geheimdienste dahinter stecken können. Und es ist ohne Frage eine ganze Menge Aufwand in die Aktion geflossen. Das sich auch jemand in ein Unternehmen einschleicht ist nicht so extrem abwegig und in der Vergangenheit durchaus schon passiert.
Und soweit ich das gelesen habe, hat der bestehende Entwickler nicht unbedingt drauf gewartet, das jemand anderes das Projekt übernimmt.
Das sich auch jemand in ein Unternehmen einschleicht ist nicht so extrem abwegig und in der Vergangenheit durchaus schon passiert.
Das ist schon richtig.
Mit genügend großem Aufwand (und finanziellen Mitteln) ist alles möglich.
Stellt sich nur noch die Frage: Mit welchem konkreten Ziel wurde gerade hier dieser enorme Aufwand (von wem auch immer) betrieben?
Und soweit ich das gelesen habe, hat der bestehende Entwickler nicht unbedingt drauf gewartet, das jemand anderes das Projekt übernimmt.
Für mich liest sich der Artikel so, dass gerade Entwickler im Open-Source-Sektor häufig an extrem wichtigen, weit verbreiteten Komponenten arbeiten, ohne dafür überhaupt genügend Ressourcen zu besitzen und ohne dafür adäquat vergütet zu werden.
Und das ist nicht der erste Artikel, der dies berichtet.
Dann sind solche Leute natürlich auch extrem anfällig für diese Art von "Hilfe"!
Insofern muss man sich eben doch immer wieder die Frage stellen, ob man essentielle Software auf einer solchen Grundlage überhaupt auf Dauer verantwortungsvoll (hier wird es "nachhaltig" genannt) produzieren kann?
Mit welchem konkreten Ziel wurde gerade hier dieser enorme Aufwand (von wem auch immer) betrieben?
Die Möglichkeit auf diesem Wege einen SSH-Zugang zu extrem vielen System zu erlangen macht es schwer ein einzelnes konkretes Ziel zu benennen. Wobei diese großflächige Zugangsmöglichkeit - nur für den oder die Angreifer nutzbar - sehr wertvoll gewesen wäre.
dass gerade Entwickler im Open-Source-Sektor häufig an extrem wichtigen, weit verbreiteten Komponenten arbeiten, ohne dafür überhaupt genügend Ressourcen zu besitzen und ohne dafür adäquat vergütet zu werden.
Das kommt in der Tat vor.
Dann sind solche Leute natürlich auch extrem anfällig für diese Art von "Hilfe"!
Das lässt sich auch nicht so pauschal sagen. Und als Open-Source-Entwickler will man auch nicht unbedingt, dass irgendein Unbekannter dran herum pfuscht und Dinge tut die den eigenen Visionen entgegen stehen.
ob man essentielle Software auf einer solchen Grundlage überhaupt auf Dauer verantwortungsvoll (hier wird es "nachhaltig" genannt) produzieren kann?
Das ist eine durchaus berechtigte Frage, wobei ich da heute vor allem auch das Risiko von in einigen Umgebungen extrem hoher Anzahl von indirekte eingebundenen Abhängigkeiten gegeben ist. Im Fall von Node.js ist es nicht so exotisch, dass ein einzelnes Projekt am Ende insgesamt eine 5-stellige Anzahl von Bibliotheken einbindet, die teilweise nur Trivialaufgaben erfüllen. Da hat niemand mehr eine seriöse Chance den Überblick zu behalten.
Siehe dazu auch https://xkcd.com/2347/
Siehe dazu auch https://xkcd.com/2347/
Sehr schön!
Das ist keine Frage von Open Source vs. Closed Source, sondern der "Qualitätsprüfung". Die hat hier zum Glück funktioniert.
Zum Thema:
Beitrag 1
Beitrag 2
Mastodon von Kuketz
Durch die dilettantische Vorgehensweise, um das Paket so schnell wie möglich in´s Maintaining und die "lahme" Ausführung des Codes ist es letzten Endes doch aufgefallen, bevor alle Distributionen betroffen sind.
Die Vorgehensweise (Key- und Sicherheitsabfragen manipuliert, Angriff über mehrere Stages + RCE usw.) spricht für eine Organisation.
Wer jetzt gegen Open Source rantet, sollte sich dabei überlegen, wieviele CVE in Closed Source und proprietärer Hard- und Software verbaut sind, die teils bekannt sind und nicht einmal gefixt werden trotz maximaler Einstufung oder nie bekannt oder ebenfalls vorsätzlich angelegt werden und ausgenutzt werden können. Haben die "Experten" wieder Futter für Scheindebatten z.B. über Closed vs. Open.
Fakt 1: Software ist nie sicher!
Fakt 2: Hier wurde bewusst eine Lücke geschaffen!
Wer seine Version prüfen will:
xz --version
Anfällig ist 5.6.0 und 5.6.1.
Das ist keine Frage von Open Source vs. Closed Source, sondern der "Qualitätsprüfung". Die hat hier zum Glück funktioniert.
Es war der pure Zufall, dass die Qualitätsprüfung "funktioniert" hat.
In anderen Fällen wird es solche Zufälle eben nicht geben.
Wer seine Version prüfen will:
xz --version
und/oder
xz -V
Bei mir hab ich 5.2.4
Also noch vor den Manipulationen (nach allen vorliegenden Infos bis jetzt).
Gruß