Nickles › Forum › Software › Linux

Linux 15.027 Themen, 107.036 Beiträge

Optionen

Das hätte der Genickschuss werden können

andy11 am 10.04.2024, 09:07 / 14 Antworten / Flachansicht

Unglaublich:

https://www.heise.de/blog/Aktenzeichen-XZ-ungeloest-9678531.html

Ein Video dazu:

https://www.youtube.com/watch?v=CQcv6f1qKA4

Quelle: https://www.youtube.com/watch?v=CQcv6f1qKA4

Andy

      Wie oft schon wurde hier Closed Source als die Hauptursache für die schweren Sicherheitsprobleme unserer Zeit dargestellt ... mawe2 10.04.2024, 11:07
    
      Weil seine sechs, meinetwegen auch sieben, Sinne in diesem Moment hellwach waren. Jeder von uns hier merkt, wenn ein ... andy11 10.04.2024, 13:13
    
      Gebt dem Mann einen Orden und eine Gehaltserhöhung. Wahnsinn was da hätte passieren können. Liest sich wie ein Krimi. ... swiftgoon 10.04.2024, 16:16
    
      Es kommt noch viiieel dicker. Lies mal das hier. Bin ich erst gestern drauf gestoßen. Das kling wirklich gruselig. Wenn ... winnigorny1 18.04.2024, 08:52
    
      Wenn er ein auf auffälliges Zeitverhalten bei einer ClosedSource-Software entdeckt hätte, dann wäre die Geschichte an ... Borlander 10.04.2024, 18:15
    
      Ich gehe trotzdem davon aus, dass es für einen Angreifer schwieriger sein dürfte, sich in ein reguläres Unternehmen ... mawe2 10.04.2024, 19:54
    
      Es wird doch teilweise vermutet, dass Geheimdienste dahinter stecken können. Und es ist ohne Frage eine ganze Menge ... Borlander 12.04.2024, 01:52
    
      Das ist schon richtig. Mit genügend großem Aufwand und finanziellen Mitteln ist alles möglich. Stellt sich nur noch die ... mawe2 12.04.2024, 06:49
    
      Die Möglichkeit auf diesem Wege einen SSH-Zugang zu extrem vielen System zu erlangen macht es schwer ein einzelnes ... Borlander 12.04.2024, 19:12
    
      Das kommt in der Tat vor. Das lässt sich auch nicht so pauschal sagen. Und als Open-Source-Entwickler will man auch nicht ... Borlander 12.04.2024, 23:03
    
      Sehr schön! mawe2 12.04.2024, 23:53
    
        gelöscht_355647 andy11 „Das hätte der Genickschuss werden können“
      
        10.04.2024, 19:46 Optionen
      
          Das ist keine Frage von Open Source vs. Closed Source, sondern der "Qualitätsprüfung". Die hat hier zum Glück funktioniert.

          Zum Thema:

          Beitrag 1

          Beitrag 2

          Mastodon von Kuketz

          Durch die dilettantische Vorgehensweise, um das Paket so schnell wie möglich in´s Maintaining und die "lahme" Ausführung des Codes ist es letzten Endes doch aufgefallen, bevor alle Distributionen betroffen sind.

          Die Vorgehensweise (Key- und Sicherheitsabfragen manipuliert, Angriff über mehrere Stages + RCE usw.) spricht für eine Organisation.

          Wer jetzt gegen Open Source rantet, sollte sich dabei überlegen, wieviele CVE in Closed Source und proprietärer Hard- und Software verbaut sind, die teils bekannt sind und nicht einmal gefixt werden trotz maximaler Einstufung oder nie bekannt oder ebenfalls vorsätzlich angelegt werden und ausgenutzt werden können. Haben die "Experten" wieder Futter für Scheindebatten z.B. über Closed vs. Open.

          Fakt 1: Software ist nie sicher!

          Fakt 2: Hier wurde bewusst eine Lücke geschaffen!

          Wer seine Version prüfen will:

          xz --version

          Anfällig ist 5.6.0 und 5.6.1.
        
             bei Antwort benachrichtigen
        
      Es war der pure Zufall, dass die Qualitätsprüfung funktioniert hat. In anderen Fällen wird es solche Zufälle eben ... mawe2 10.04.2024, 19:56
    
      und/oder xz -V Bei mir hab ich 5.2.4 Also noch vor den Manipulationen nach allen vorliegenden Infos bis jetzt . Gruß st.lu 10.04.2024, 21:20