Everything I know about the XZ backdoor

iamntz · martie 31, 2024, 9:19am

Everything I know about the XZ backdoor ^[1] / Discuțiile HN

În cazul în care ați ratat ultimele întâmplări din open source

A fost descoperit accidental: cineva făcea un benchmark și rezultatele nu ieșeau cum trebuie.

Autorul face mici commits de vreo doi ani, deci ori e cineva răbdător ori cineva foarte motivat.

This might be the best executed supply chain attack we’ve seen described in the open, and it’s a nightmare scenario: malicious, competent, authorized upstream in a widely used library.

Looks like this got caught by chance. Wonder how long it would have taken otherwise.

Alte links:

(Un)related: poate vreți să lecturați povestea lui Stuxnet:

Mirror ↩︎

serghei · martie 31, 2024, 10:14am

Cred că este mult prea elaborat pentru a suspecta doar “răbdare”.

isti37 · aprilie 2, 2024, 4:43pm

Ma face doar sa ma intreb oare cate exploit-uri de genul mai exista

Cosmin_Popescu · aprilie 3, 2024, 6:57am

https://www.reddit.com/r/programming/comments/1bug2ae/the_xz_fiasco_has_shown_how_a_dependence_on/

emil · aprilie 3, 2024, 12:58pm

de asta ati auzit ? as zice ca asta e mai critic, kernel intre v5.14 si v6.6

https://github.com/Notselwyn/CVE-2024-1086