Бэкдор в архиваторе XZ 5.6.0 и 5.6.1 (CVE-2024-3094)

[ThingCrimson]

Да уж… Почитал сообщение от Andres Freund в рассылке oss-security, волосы на голове зашевелились! Вот написали практически эталонную реализацию SSH (спасибо OpenBSD Project), важность этого демона для безопасности сложно переоценить. А дистрописатели (Debian, RedHat, SUSE) возьми да и пропатчи его, для поддержки новомодного systemd; а последний внезапно использует xz / liblzma. И вот у нас уже дыра на вход в систему, получите-распишитесь!

Хорошо, что я на дебиане всегди сижу на oldstable, иногда oldoldstable — есть надежда, что по граблям до меня побегать успеют.

(прочитал новость, оформленную лучше чем статья, кажется понял за что минусят эту публикацию)

[strvv]

Вся проблема в том, что унифицирующие технологии, тот же SystemD стали все, за исключением нескольких "отщепенцев", типа Патрика Фолькердинга, вводить для упрощения обслуживания.

Те же ФлатПаки и прочее. В Виндовс это менее заметно, т.к. штатно используется политика аналогично ФлатПакам - критично необходимые версии библиотек тянут с собой сами приложения.

У отечественных дистрибутивов в этом отношении фактически печально, за исключением Базальт СПО, все остальные, даже широко распиаренный и продвигаемый везде толстой волосатой лапой АстраЛинукс - это клоны мировых дистрибутивов, и своей политики они фактически не ведут.

У альтов осталась и SysVinit на серверах.

Удобство systemd особенно заметно на компьютерах для домашнего пользования — когда пользователи включают и перезагружают компьютер ежедневно. В отличии от sysvinit, подвисание при запуске одного сервиса не приведет к остановке всего процесса загрузки.

Цитата с сайта AltLinux.

Из-за этого стоит взять почти один пакет, который ранее, да и сейчас в той же Slackware, небольшой и зависимостей нет, то в майнстриме deb и rpm, обычно потянет за собой libgir1 и прочие библиотеки, которые ворохом притянут весь дистрибутив.

Отчего тот же минт и другие дистрибутивы фактически разворачиваются не пакетами, а образом, и быстрее и пользователю думать не надо, а потом, пользователь, по желанию может сделать обрезание. Но он в своих желаниях чрезвычайно ограничен.

[Johan_Palych]

Почитайте лучше тут:
29.03.2024 22:18 В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd
https://www.opennet.ru/opennews/art.shtml?num=60877
30.03.2024 12:47 Ретроспектива продвижения бэкдора в пакет xz
https://www.opennet.ru/opennews/art.shtml?num=60880
В trixie/sid откатились до 5.4.5-1
hostnamectl | grep -E "Operating System:|Kernel:";xz --version;dpkg --list | grep -E "xz-utils|liblzma"

[kovserg]

А что там у windows? Он же теперь тоже много форматов архивов поддерживает.

[LuckyStarr]

Что это? Как это связано темой и содержанием статьи?

[strvv]

Есть опасность, пусть и не через ssh, а, например через Керберос вывезти аналогичную проблему. Хотя пак от MS будет на библиотеку к ядру системы, относящейся к сжатию.