「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に／0.5秒の遅延からたまたま発覚、数年をかけた周到なやり口が明るみに

[PYU224]

仕込む方も凄いが気づいた方も凄い。

[JULY]

「オープンソースエコシステム全体の信頼を揺るがす」と書いてるけど、短期間で問題を修正できたのもオープンソースゆえ、とも言える。米国のように社員の入れ替わりが激しいところなら、クローズドでも起き得る。

[ka-ka_xyz]

なんというかこー、それなりに大きな組織のやり方っぽさがあるのよな（もしそうだとしたら、攻撃がxzだけで一点突破を狙ったというのも考えにくくて）。杞憂だと良いけれど。

[inaken1980]

OSSの方が起こりやすいとはいえ、悪意ある開発者が侵入する可能性はクローズドソースにもある。

[yamadar]

この件と同様の手法で脆弱性が埋め込まれていないか、星の数ほどあるオープンソースプロジェクトの全体的な調査をしないと安心できないなと思う

[napsucks]

ソースが公開されてるがゆえに気づけて直せたとは言える。クローズドのコードに埋め込まれてたら発覚しなかった可能性もある。

[deep_one]

「長い時間をかけてプロジェクトオーナーの信頼を勝ち取り、メンテナンスを任された開発者が意図的に混入させた」埋伏の毒。

[luvsik]

足のつく社員が仕込んで訴訟か海外逃亡覚悟ってのと比較するとか笑うわ

[stilo]

"2021年頃にアカウントを作成、不正なコードが仕込まれたのは2024年2月末。数年にわたり少しずつ信頼を得て、犯行に及んだことがわかる（メンテナーの地位を得てから買収された可能性も指摘されている）"

[maketexlsr]

systemdの話どこに…

[Itisango]

エグい。

[diveintounlimit]

スパイ映画のようだ

[hogeaegxa]

まるでワンピースの黒ひげみたく最初からこの目的で下積みしてたのか、共産主義下で乞食ユーザの奴隷として生きるのにうんざりして金と引き換えにしてこれをしたのかどっちなんだろう。個人的には後者かなと思う

[daishi_n]

バックドアを埋め込むのはクローズドソースの方が簡単(特に業務アプリはカモ)なんだけど、オープンソースでもコミット体制によっては汚染されるからね。信頼度を高めてから汚染するとかタチが悪い

[kubecorn]

仕込む方の忍耐力がすごいのか計画性がすごいのか。

[yamuchagold]

気になって調べたけど自分が管轄してるサーバはバージョンが古いので大丈夫そうだったわ。でも、こういうのは困るな。防ぎようがない。

[abeshinn]

Jia Tanって中国人だろうね．．

[misshiki]

“メンテナンスを任された開発者が意図的に混入させたという悪質性や、当該ツールが複数の主要なLinuxディストリビューションで採用されており、「OpenSSH」をはじめ影響が広範囲に及ぶ点などが話題を呼び”

[warp9]

systemd が xz-libs に依存？ どうするのこれ？ // 「v5.6.0およびv5.6.1」それより古いからセーフ？

[yarumato]

“PostgreSQL/Microsoftの開発者がマイクロベンチマークの実施中に、システム停止にもかかわらず、sshdプロセスが驚くほど多くのCPUリソースを消費。不審に思った氏がsshdをプロファイリング、SSHログインに0.5秒の遅延を発見”

[nakag0711]

やはりMSのエンジニアは腕がいいか。PosrgreSQLの開発もしてたのね

[manaten]

OSSコミュニティそのものの脆弱性だなあ

[Listlessness]

よく気付いたよなこれ