Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от opennews (?), 30-Мрт-24, 12:57
Предположительно бэкдор в пакет xz был внедрён разработчиком Jia Tan, который в 2022 году получил  статус сопровождающего  и  выпускал релизы начиная с версии 5.4.2. Помимо проекта xz предполагаемый автор бэкдора также участвовал в разработке пакетов xz-java и xz-embedded, и был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60880
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. "Ретроспектива продвижения бэкдора в пакет xz"	+69 +/–
Сообщение от Аноним (2), 30-Мрт-24, 12:57
Таки работает схема с тысячей глаз!
Ответить | Правка | Наверх | Cообщить модератору

	12. Скрыто модератором	–74 +/–
	Сообщение от Oe (?), 30-Мрт-24, 13:03
	В линухе дыр настолько много, что винде и не снилось. Андроид тому подтверждение с тысячами способов получить рут. Когда линух обгонит винду то начнется целая эпидемия троянов. У меня он фурифокс имеет доступ к любому файлу в домашнем каталоге? Спрашивается, зачем? Почему в 2024 году до сир пор нету системы полномочий хотя бы на уровне ведроида?
	Ответить | Правка | Наверх | Cообщить модератору

	14. Скрыто модератором	+/–
	Сообщение от Аноним (14), 30-Мрт-24, 13:06
	Так Flatpak есть с системой доступа к отдельным директориям.
	Ответить | Правка | Наверх | Cообщить модератору

	16. Скрыто модератором	+2 +/–
	Сообщение от Аноним (16), 30-Мрт-24, 13:10
	Flatpak не спасёт, если уязвимы сами API, которые использует браузер. В т.ч. Linux syscalls.
	Ответить | Правка | Наверх | Cообщить модератору

	15. Скрыто модератором	+6 +/–
	Сообщение от Аноним (16), 30-Мрт-24, 13:09
	Те, кто заморочены безопасностью, не запускают браузер в своей сессии ни в Linux, ни в Windows. Недавний хакатрон показал, что в обоих системах можно выйти из браузера и получить локального рута. Да, там нехилая цепочка уязвимостей, но если надо, вас поимеют. Если же безопасно, то только hardcore: либо виртуалка (причём это не панацея, но сильно усложняет жизнь, потому что надо пробить hypervisor), либо remote desktop.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	26. Скрыто модератором	+16 +/–
	Сообщение от Аноним (26), 30-Мрт-24, 13:38
	Те , кто заморочены безопасностью - вообще не запускают компьютер .
	Ответить | Правка | Наверх | Cообщить модератору

	82. Скрыто модератором	–1 +/–
	Сообщение от Аноним (82), 30-Мрт-24, 16:07
	>> причём это не панацея Вы экспертно считаете?
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	170. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от microcoder (ok), 31-Мрт-24, 01:04
	Объясните, а что даст взломщику локальный рут у простого пользователя? Файлы и так потереть может, слить их в сеть тоже. Зачем рут нужен?
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	223. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от pelmaniac (?), 31-Мрт-24, 17:36
	> просто пользователя оно сидит за 1. провайдерским натом 2. за роутером и нафиг никому не надо у более-менее вменяемого юзера браузер НЕ запускается из под пользователя и нифига не может ценного взять
	Ответить | Правка | Наверх | Cообщить модератору

	242. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от microcoder (ok), 01-Апр-24, 02:33
	> у более-менее вменяемого юзера браузер НЕ запускается из под пользователя и нифига > не может ценного взять Как стать вменяемым? Что надо сделать?
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Ретроспектива продвижения бэкдора в пакет xz"	+9 +/–
	Сообщение от вымя (?), 30-Мрт-24, 14:01
	Ага, покажите мне эти «тысячи способов получить рут», у меня тут как раз есть телепончик, с которого бы хотелось снять бекап с приложения, у которого в манифесте за непонятной причиной выключен android:allowBackup, и чтобы без вайпа данных разблокировкой загрузчика. И нет, все эти king(o)root со скачкой неведомых пейлоадов с китайских серверов не подходят, потому что с ними вообще непонятно, каких троянов они там сами поназапускают вслед с шеллом.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	112. "Ретроспектива продвижения бэкдора в пакет xz"	+8 +/–
	Сообщение от Аноним (112), 30-Мрт-24, 17:44
	> В линухе дыр настолько много, что винде и не снилось. Анализировали коды обоих? Результаты представьте.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	127. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Аноним (127), 30-Мрт-24, 19:27
	а как винде получить рут?
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	142. "Ретроспектива продвижения бэкдора в пакет xz"	+3 +/–
	Сообщение от Аноним (142), 30-Мрт-24, 20:14
	А винде фурифокс прям изолирован?
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	154. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (154), 30-Мрт-24, 21:00
	Напиши свой репозиторий за бесплатно. Я тебе даже помогу — имя придумаю. Проект Джин! Вот так пользователи и будут писать: джин наколдуй nano джин список --установленного джин ищи qtcreator ну или su -c "джин ..." Звучит? А?
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	192. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Легивон (?), 31-Мрт-24, 08:14
	>Андроид тому подтверждение с тысячами способов получить рут. В винде все просто работают из под рута. Даже получать ничего не надо. Удобно.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	196. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от AlexYeCu (ok), 31-Мрт-24, 09:36
	Ты наивное дитя на поводу у зла… Отсутствие изкоробочного root-а — это и есть уязвимость сама по себе.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	27. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (26), 30-Мрт-24, 13:39
	Не работает . Просто хакеры зевнули .
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	36. "Ретроспектива продвижения бэкдора в пакет xz"	+4 +/–
	Сообщение от сщта (?), 30-Мрт-24, 13:51
	Только в МС надо стукнуть чтобы посмотрели,а так да.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	65. "Ретроспектива продвижения бэкдора в пакет xz"	–3 +/–
	Сообщение от Анонин (-), 30-Мрт-24, 15:04
	> Таки работает схема с тысячей глаз! Где же она работает? Тыщщи глаз два года ничего не замечали. Потом пришел профи из корпорации Майкрософт и сказал "Чуваки, вы же обделались!" А тыщщи глаз похлопали и побежали срочно обновляться.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	95. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Всем Анонимам Аноним (?), 30-Мрт-24, 16:42
	не совсем так, месяц продержалось, в основном или на мелких дистрибутивах, которые в production не будет никто ставить, или в тестовых версиях больших (для этого они и есть, чтобы там народ потестил их на себе вначале). В RedHat и деривативы не попало, в Ubuntu тоже, это 2 основных. В Debian конечно жаль, но это тоже еще собрание волонтеров без каких-то гарантий.
	Ответить | Правка | Наверх | Cообщить модератору

	183. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от fhunter (?), 31-Мрт-24, 04:51
	В Debian тоже не попало кроме testing-а
	Ответить | Правка | Наверх | Cообщить модератору

	123. "Ретроспектива продвижения бэкдора в пакет xz"	+9 +/–
	Сообщение от Hashnames (?), 30-Мрт-24, 19:16
	А кто, по вашему, пишет опенсорс? Домохозяйки? Вот эти самые "профи из Майкрософта", Гугла и прочих Тенцентов, в основном, и пишут. Суть-то не в том, что профи или не профи, а в том, что в данном случае из десятков тысяч человек которые успели поставить этот пакет, нашёлся один - совершенно не связанный ни с затронутыми дистрибутивами, ни с затронутыми приложениями или библиотеками, который заметил, что что-то не так. И, в результате, два года хитрых манипуляций пошли прахом за один месяц. А был бы закрытый код, надеяться бы можно было только на релизеров - т.е. на тех людей которые, в данном случае, проблему как раз успешно и провафлили. Тут больше возникает вопросов к дебиану, которые, емнип, уже как минимум второй раз так успешно садятся в лужу со своими волшебными патчами (openssl вроде был, где они отключили генератор энтропии, потому что он valgrind ломал)
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

	122. "Ретроспектива продвижения бэкдора в пакет xz"	–1 +/–
	Сообщение от майнеймис (?), 30-Мрт-24, 19:15
	с пауками чтоль?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
Сообщение от pic (?), 30-Мрт-24, 12:58
Так будет иск или расследование с открытием дела?
Ответить | Правка | Наверх | Cообщить модератору

	8. "Ретроспектива продвижения бэкдора в пакет xz"	–1 +/–
	Сообщение от Аноним (16), 30-Мрт-24, 13:01
	Расследование уже началось. Дело будет, если найдут подозреваемого. Судя по всему, он (они) всегда ходил через VPN, так что найти настоящего человека будет нереально. NSA/CIA/RedHat/Microsoft уже в работе.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (16), 30-Мрт-24, 13:46
	Proof: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-...
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Ретроспектива продвижения бэкдора в пакет xz"	+11 +/–
	Сообщение от Аноним (47), 30-Мрт-24, 14:16
	> всегда ходил через VPN > NSA/CIA/RedHat/Microsoft уже в работе. Вот кто-то подумает, что во всем опять VPN виновен. Архив релиза, говорят, был подписан. А значит проблема в ОРГАНИЗАЦИИ работы с ключами! Кто в глаза видел этого "Jia Tan"? Кто подписал его OpenPGP ключ? Где цепочка доверия между его OpenPGP ключом и ключами ментейнеров которые включили его пакет в дистрибутивы? Не даром Линус графики рисует с цепочками доверия к ключу КАЖДОГО разраба: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/... И отдельно стережет все публичные ключи разрабов: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/... https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/... https://mirrors.edge.kernel.org/pub/site/keyring.gpg https://mirrors.edge.kernel.org/pub/site/keyring.kbx
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	50. "Ретроспектива продвижения бэкдора в пакет xz"	+4 +/–
	Сообщение от Аноним (47), 30-Мрт-24, 14:24
	> посетовал на выгорание и проблемы с психическим здоровьем, и передал право мэйнтейнера Jia Tan Ну вот, траванули разраба, а он передал управление проектом непонятно кому. Где крос подписи ключей Lasse Collin и Jia Tan? Где цепочка доверия между ключами Lasse Collin и Jia Tan?
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от timur.davletshin (ok), 30-Мрт-24, 15:11
	На самом деле просто ключами PGP разработчики пользоваться не умеют в своей массе. Это не домысел, это факт.
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Аноним (47), 30-Мрт-24, 15:22
	Лет 5 назад лично проводил исследование применение OpenPGP для подписи пакетов. В Gentoo distfiles: <15% пакетов имели подписи. Среди них поддельных пакетов не обнаружил. 1 пакет подписан одновременно двумя разработчиками. было замечено несколько <10 пакетов которые меняли разработчика. среди них пару пакетов сменили разработчика и не было кросподписи ключей старого и нового разраба. То есть наш случай.
	Ответить | Правка | Наверх | Cообщить модератору

	118. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Аноним (118), 30-Мрт-24, 18:47
	Можно про методику?
	Ответить | Правка | Наверх | Cообщить модератору

	251. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (251), 01-Апр-24, 10:44
	man gpg Скрипт, написанный лет 5 назад, который проверяет PGP подписи файлов с Gentoo distfiles, а так же следит за сменой подписи у файлов релиза. Если новый релиз подписан другой подписью, то дополнительно проверяется есть ли крос-подписи старого и нового ключа. Данная проверка охватывает <15% Gentoo distfiles и только пару пакетов ее не проходят, xz-utils тоже засветится ибо сменил разраба с Lasse Collin на Jia Tan и их ключи не имеют крос-подписей. Эти пару пакетов можно поставить на аудит и проследить за их разрабами. По остальным >85% пакетов даже авторство и аутентичность трудно подтвердить. Троян может не разраб добавить, а кто-то по дороге к тебе.
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (76), 30-Мрт-24, 15:34
	Разработчики ? хм. Вот к примеру раздают LibreOffice, сам пакет и подпись asc к нему. Вы может по шагам описать как правильно проверить этот пакет ? Я механизм знаю, проверял, какая то фигня а не проверка.
	Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

	77. "Ретроспектива продвижения бэкдора в пакет xz"	–2 +/–
	Сообщение от timur.davletshin (ok), 30-Мрт-24, 15:45
	> Разработчики ? хм. > Вот к примеру раздают LibreOffice, сам пакет и подпись asc к нему. > Вы может по шагам описать как правильно проверить этот пакет ? > Я механизм знаю, проверял, какая то фигня а не проверка. Инструкцию на сайте убрали уже рядом с предложением скачать подпись для проверки? Или ты из тех, кто их не читает? У меня тут буквально пару недель назад один носился "У меня образ Debian контрольную сумму выдаёт не ту. А! Меня ломанули!". Оказалось, что он умудрился сравнивать образ Debian с XFCE c контрольной суммой от "обычной" сборки.
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (91), 30-Мрт-24, 16:31
	> Я механизм знаю, проверял, какая то фигня а не проверка. Добавь проверку публичного ключа. Используй WoT и найди несколько цепочек к ключу которому доверяешь.
	Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

	233. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от OpenEcho (?), 31-Мрт-24, 20:02
	> Добавь проверку публичного ключа. Это типа - через гпг сервера? Так на них кто угодно от твоего имени залить может. Или это типа ломани хозяина приватного ключа? > Используй WoT и найди несколько цепочек к ключу которому доверяешь. Оптимисты ещё не все вымерли...
	Ответить | Правка | Наверх | Cообщить модератору

	252. "WoT"	+/–
	Сообщение от Аноним (251), 01-Апр-24, 11:04
	Чтобы с высоким уровнем достоверности можно было полагатся на публичный ключ, необходимо найти больше 4 цепочек доверия между твоим ключом и исследуемым. Примеры: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/... https://www.linux.org.ru/forum/security/16839105?cid=16840324 > Так на них кто угодно от твоего имени залить может. Да, любой Васян может залить поддельный ключ любого Вована на сервера ключей. Но на ВСЕХ поддельных ключах Вована залитых на сервера ключей плохими Васянами не будет подписи Вадима которого ты знаешь. Подпись Вадима будет ТОЛЬКО на оригинальном ключе Вовы. Поэтому Web of Trust (WoT) работает и сегодня.
	Ответить | Правка | Наверх | Cообщить модератору

	258. "WoT"	+/–
	Сообщение от OpenEcho (?), 01-Апр-24, 17:10
	> необходимо найти больше 4 цепочек доверия между твоим ключом и исследуемым. Ну и как? Удачно нашел ко ВСЕМ 4 цепочки? > Но на ВСЕХ поддельных ключах Вована залитых на сервера ключей плохими Васянами не будет подписи Вадима которого ты знаешь. В том то и дело, что ни с Вадимом и тем более с Вованом у меня нет ничего общего, как врочем и с теми вымышленными WoT, которые приходят в бар, знакомятся, и показывают свои паспорта(липовые?) для сверки, а в реальности, вон Ху Тян пришел и xz рачком-с поставил. Пока нет достоверного, доверяемого центра сертификации - вся эта ЖПЖ ключеграфия - полный самообман
	Ответить | Правка | Наверх | Cообщить модератору

	275. "WoT"	+/–
	Сообщение от Аноним (275), 04-Апр-24, 17:45
	>> необходимо найти больше 4 цепочек доверия между твоим ключом и исследуемым. > Ну и как? Удачно нашел ко ВСЕМ 4 цепочки? Да: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/... >> Но на ВСЕХ поддельных ключах Вована залитых на сервера ключей плохими Васянами не будет подписи Вадима которого ты знаешь. > В том то и дело, что ни с Вадимом и тем более  с Вованом у меня нет ничего общего, как врочем и с  теми вымышленными WoT, которые приходят в бар, знакомятся, и показывают свои  паспорта(липовые?) для сверки, а в реальности, вон Ху Тян пришел и  xz рачком-с поставил. Одну ошибку по пяне в баре с подписью ключа по липовому паспорту WoT OpenPGP выдержит. Некий уровень достоверности определяется несколкими цепочками доверия к проверяемому ключу. Не подписывайте ключи пяными в барах! Подпишите ключи тех кого вы хорошо знаете: своих одногрупников в универе, сотрудников на работе, членов месной LUG которых давно знаете, ... > Пока нет достоверного, доверяемого центра сертификации - вся эта ЖПЖ ключеграфия - полный самообман Пример работы "достоверного, доверяемого центра сертификации"; https://www.opennet.ru/openforum/vsluhforumID10/5564.html Ошибаются или обманывают даже в церкви: https://www.opennet.ru/openforum/vsluhforumID15/4883.html#15
	Ответить | Правка | Наверх | Cообщить модератору

	276. "WoT"	+/–
	Сообщение от OpenEcho (?), 04-Апр-24, 19:50
	> Да: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/... Там львиня доля народа до которых у меня нет никакой цепочки чтоб им верить, и еще где гарантия чтоб тот веб сервак не ломанут и что самое интересное, - идентификация в виде огрызка хэша в по первым 8-ми байтам - это просто "вверх секьюрности", я уж не говорю о удобстве проверки при каждом апдэйте сотни софта >  Подпишите ключи тех кого вы хорошо знаете: своих одногрупников в универе, сотрудников на работе, членов месной LUG которых давно знаете, ... Вы с какой планеты вообще ??? Здесь, на Земле - это только в теории и среди 2 землекопов знающих друг друга > Пример работы "достоверного, доверяемого центра сертификации"; https://www.opennet.me/openforum/vsluhforumID10/5564.html Что то я там Торвальдаса не нашел, как впрочем большинство лидеров крупных проектов > Ошибаются или обманывают даже в церкви Здесь не про ошибку, а про то, что нет реального механизма достоверности в ПГП. Програмно, да есть, если обмениваться ключами из рук в руки при условии что 100% это те люди за которых себя выдают, но концептуально все сводится к тому, что Вася не может проверить с 100% достоверностью  Джона на другой стороне планеты. Ходить по одноглазникам и сотрудникам - это конечно хорошо в теории, но в реальности этим никто не занимается, даже больше, очень многие програмисты не догоняют как все плохо с достоверностью в ПГП
	Ответить | Правка | Наверх | Cообщить модератору

	109. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Fedd (ok), 30-Мрт-24, 17:30
	gpg --verify LibreOffice_24.2.2.2_Linux_x86-64_deb.tar.gz.asc LibreOffice_24.2.2.2_Linux_x86-64_deb.tar.gz
	Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

	125. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
	Сообщение от Аноним (76), 30-Мрт-24, 19:20
	Я же сказал что читал инструкцию и что знаю процедуру. Вы поглядите что пишет при проверке ... но это еще пол беды. А если сайт с пуб ключом не доступен ? А кто докажет что пуб-кей тот что нужно ? А если ... Там этих если 2 вагона и тележка. Как раньше здорово было, выложат рядом md5,256-512 sum и т.д. скачиваешь и спокойно проверяешь. А тут фигня какая то... Кстати сделай : gpg --verify LibreOffice_24.2.2.2_Linux_x86-64_deb.tar.gz.asc LibreOffice_24.2.2.2_Linux_x86-64_deb.tar.gz а потом gpg --verify LibreOffice_24.2.2.2_Linux_x86-64_deb.tar.gz.asc и погляди на вывод.
	Ответить | Правка | Наверх | Cообщить модератору

	253. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (251), 01-Апр-24, 11:06
	https://www.opennet.ru/openforum/vsluhforumID3/133256.html#252
	Ответить | Правка | Наверх | Cообщить модератору

	136. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (136), 30-Мрт-24, 19:49
	Кто пользует то что на работе работает )
	Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

4. "Ретроспектива продвижения бэкдора в пакет xz"	–37 +/–
Сообщение от Oe (?), 30-Мрт-24, 12:59
У меня zip, все работает не просто отлично, а шикарно. Пользователи виндоус кстати тоже это подтверждают. Продолжайте использовать name.zm.tg.jh.qu.md *овнорхивы в 2024.
Ответить | Правка | Наверх | Cообщить модератору

	71. Скрыто модератором	+2 +/–
	Сообщение от Daniil (??), 30-Мрт-24, 15:12
	Ну да, только даже gzip сжимает лучше.
	Ответить | Правка | Наверх | Cообщить модератору

	78. Скрыто модератором	–1 +/–
	Сообщение от Аноним (78), 30-Мрт-24, 15:45
	Там deflate, Мань, в zip же zstandard уже 4 года в стандарте, и он сопоставимый с lzma. Так что окончательная смерть 7z и lzma не за горами и никакие lzham тут не помогут (если только они не окажутся в разы лучше lzma).
	Ответить | Правка | Наверх | Cообщить модератору

	141. Скрыто модератором	+2 +/–
	Сообщение от Аноним (141), 30-Мрт-24, 20:13
	Пусть сначала этот ZIP научится хранить имена в UNICODE. А дальше надо посмотреть, как там с атрибутами файлов, в т.ч. расширенными.
	Ответить | Правка | Наверх | Cообщить модератору

	149. Скрыто модератором	+/–
	Сообщение от Аноним (78), 30-Мрт-24, 20:45
	18 лет назад научился, все вопросы к венде, которая продолжала использовать 8-битные кодировки ещё 10 лет после этого. Для хранения и передачи файлов вполне достаточно того что поддерживается, это доисторический формат архивов.
	Ответить | Правка | Наверх | Cообщить модератору

5. "Ретроспектива продвижения бэкдора в пакет xz"	–5 +/–
Сообщение от Аноним (16), 30-Мрт-24, 12:59
Кинул в Федору предложение: https://pagure.io/fesco/issue/3185 Может, соберутся и реализуют, но надежды примерно 0.00001%, а по факту, скорее всего, скажут: "Не туда написал, ищи тех и тех, закрываем, и вообще не к нам". На opennet не хочу больше писать под собой, из-за лютой ярой ненависти и фанатизма.
Ответить | Правка | Наверх | Cообщить модератору

	39. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
	Сообщение от Аноним (39), 30-Мрт-24, 13:58
	Andres Freund, залогиньтесь.
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Rev (?), 30-Мрт-24, 14:22
	Хорошее предложение!
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	66. "Ретроспектива продвижения бэкдора в пакет xz"	–1 +/–
	Сообщение от аннаним (?), 30-Мрт-24, 15:05
	>There must be a website or a central authority С одной стороны выглядит назревшим и необходимым. С другой - это ж дораспугает всех инди коммитеров, останется только корпорат, а возглавят спецслужбы.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	98. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Всем Анонимам Аноним (?), 30-Мрт-24, 16:46
	Можно было бы помягче написать. Троллить каждый может и советовать. Проблема не с поливанием дерьмом что типа все вы тут хреново сделали и советами всем вподряд с дивана.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	100. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (141), 30-Мрт-24, 16:50
	Так Fedora тебя тоже кинет.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	169. "Ретроспектива продвижения бэкдора в пакет xz"	–1 +/–
	Сообщение от Аноним (169), 30-Мрт-24, 23:51
	Разрабы Fedora сказали, что это предложение "anti-freedom", при этом ничего не уточняя, так что будем и дальше радоваться malware, которое нам спускают дистры, потому что им глубоко на всё начхать.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	206. "Ретроспектива продвижения бэкдора в пакет xz"	–1 +/–
	Сообщение от name (??), 31-Мрт-24, 11:45
	>>There must be a website or a central authority >Разрабы Fedora сказали, что это предложение "anti-freedom" Кококо
	Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором	+4 +/–
Сообщение от Карлос Сношайтилис (ok), 30-Мрт-24, 13:00
Пацан[ы] к успеху шли, но Andres Freund всё испортил. Сразу предлагаю конспирологическую теорию в стиле opennet: на самом деле, бэкдор был внедрён в проект самой компанией MS, но сотрудник, отвечающий за эту операцию вышел из под контроля, поэтому пришлось инфу слить.
Ответить | Правка | Наверх | Cообщить модератору

	10. Скрыто модератором	+1 +/–
	Сообщение от Аноним (16), 30-Мрт-24, 13:01
	Слишком толсто.
	Ответить | Правка | Наверх | Cообщить модератору

	32. Скрыто модератором	+2 +/–
	Сообщение от Аноним (141), 30-Мрт-24, 13:46
	Т.е., у этого Andres Freund растроение личности: Jia Tan, Jigar Kumar и Hans Jansen. :)
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	42. Скрыто модератором	+/–
	Сообщение от Карлос Сношайтилис (ok), 30-Мрт-24, 14:02
	Эта версия мне тоже нравится! )
	Ответить | Правка | Наверх | Cообщить модератору

7. "Ретроспектива продвижения бэкдора в пакет xz"	+11 +/–
Сообщение от Аноним (7), 30-Мрт-24, 13:00
Майкрософт как обычно приходит и спасает положение
Ответить | Правка | Наверх | Cообщить модератору

	21. "Ретроспектива продвижения бэкдора в пакет xz"	+3 +/–
	Сообщение от Аноним (21), 30-Мрт-24, 13:25
	PostgreSQL же. Всем известно, что Postgre - лучший мессенджер для передачи файлов
	Ответить | Правка | Наверх | Cообщить модератору

	132. "Ретроспектива продвижения бэкдора в пакет xz"	–2 +/–
	Сообщение от Аноним (127), 30-Мрт-24, 19:40
	postgre только для 1с годится у всех остальных postgres
	Ответить | Правка | Наверх | Cообщить модератору

	259. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (259), 01-Апр-24, 20:02
	postgres
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

9. "Ретроспектива продвижения бэкдора в пакет xz"	+5 +/–
Сообщение от Vf (?), 30-Мрт-24, 13:01
Ну, по крайней мере тезис про тысячу глаз работает.
Ответить | Правка | Наверх | Cообщить модератору

	11. "Ретроспектива продвижения бэкдора в пакет xz"	–9 +/–
	Сообщение от Аноним (16), 30-Мрт-24, 13:02
	Нашли не глаза, malware заметили из-за глюков в работе. Глаза - это не больше, чем миф.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Ретроспектива продвижения бэкдора в пакет xz"	+7 +/–
	Сообщение от Аноним (141), 30-Мрт-24, 13:52
	Ну да, файлы же с бекдором bad-3-corrupt_lzma2.xz и good-large_compressed.lzma нащупали на ощупь по методу Брайля.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Ретроспектива продвижения бэкдора в пакет xz"	+3 +/–
	Сообщение от n00by (ok), 30-Мрт-24, 13:27
	При этом тезис "за 2 года спланированной деятельности бэкдур внедрён только в liblzma" предлагается принять на веру.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	46. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (39), 30-Мрт-24, 14:11
	Либо можно интерпретировать как "за 2 года спланированной деятельности бекдур осилили внедрить только в liblzma". Кто прав? Время покажет.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Ретроспектива продвижения бэкдора в пакет xz"	–1 +/–
	Сообщение от n00by (ok), 30-Мрт-24, 14:25
	Что можно так интерпретировать и на каком основании?
	Ответить | Правка | Наверх | Cообщить модератору

13. "Ретроспектива продвижения бэкдора в пакет xz"	–1 +/–
Сообщение от Аноним (13), 30-Мрт-24, 13:04
>17 марта Hans Jansen, разработавший ранее патчи с поддержкой IFUNC, был зарегистрирован в качестве участника проекта Debian Это, кажется, требует личной встречи с участниками проекта для удостверения публичных ключей, должен быть предоставлен выданный государством ID-документ.
Ответить | Правка | Наверх | Cообщить модератору

	35. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Dmitry Shachnev (ok), 30-Мрт-24, 13:47
	Он просто зарегистрировался на местном гитлабе. Мейнтейнером или девелопером он не стал.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (54), 30-Мрт-24, 14:25
	Участник проекта Debian - это как раз участник с правом голоса и полномочиями самому заливать пакеты.
	Ответить | Правка | Наверх | Cообщить модератору

17. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Шарп (ok), 30-Мрт-24, 13:10
>openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma. Опять дебианчик со своими патчами. Когда уже им по рукам надавают, чтобы перестали лезть в чужой софт.
Ответить | Правка | Наверх | Cообщить модератору

	19. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
	Сообщение от Аноним (19), 30-Мрт-24, 13:15
	Можно копнуть еще глубже, и найти того кто протащил эту зависимость systemd для sshd.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Ретроспектива продвижения бэкдора в пакет xz"	+11 +/–
	Сообщение от Аноним (39), 30-Мрт-24, 14:02
	Ты поаккуратнее с такими заявлениями, а то выяснится что за всем стоит дядя Лёня.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Шарп (ok), 30-Мрт-24, 14:31
	А зачем? Если авторы systemd добавили зависимость, то это их дело. Они же владельцы. Я интересуюсь какого фига мейнтейнеры дебианчика лезут своими кривыми руками в чужой код. Они один раз уже пропатчили openssl (https://www.schneier.com/blog/archives/2008/05/random_number...). В результате стойкость ключей помножили на ноль. Но похоже дебиановцы после того факапа отстирали штанишки и опять принялись за старое.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	174. "Ретроспектива продвижения бэкдора в пакет xz"	+4 +/–
	Сообщение от aname (?), 31-Мрт-24, 02:26
	Есть подозрение, что они и не стирали
	Ответить | Правка | Наверх | Cообщить модератору

	189. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от n00by (ok), 31-Мрт-24, 07:28
	Есть и подтверждение этой гипотезе - слишком часто эксперты пишут "душно!"
	Ответить | Правка | Наверх | Cообщить модератору

	254. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от aname (?), 01-Апр-24, 11:13
	> Есть и подтверждение этой гипотезе - слишком часто эксперты пишут "душно!" Не баг, а фича!
	Ответить | Правка | Наверх | Cообщить модератору

	261. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (259), 01-Апр-24, 20:04
	Потому что операционная СИСТЕМА — это система, а не разрозненные никак не связанные компоненты.
	Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

18. "Ретроспектива продвижения бэкдора в пакет xz"	+7 +/–
Сообщение от Аноним (7), 30-Мрт-24, 13:14
Изначальный автор xz-utils вообще ушел давно из проекта по состоянию здоровья. Теперь вот эти мутные типы с полным доступом, которых вообще не существует походу, делают релизы с бэкдором. Да тут весь xz проект скомпрометирован.
Ответить | Правка | Наверх | Cообщить модератору

22. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от kusb (?), 30-Мрт-24, 13:26
А в винде есть zlib? Хочу протроянить винду. (Или другой BSD лицензированный пакет, который может быть в винде) В XP были зип папки. Стоп, я же с десятки пишу, можно проверить...
Ответить | Правка | Наверх | Cообщить модератору

	68. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (68), 30-Мрт-24, 15:09
	Можешь искать людей с Git for Windows - в нем тоже есть xz
	Ответить | Правка | Наверх | Cообщить модератору

	99. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от glad_valakas (-), 30-Мрт-24, 16:47
	в cygwin есть и zlib и xz и sshd тоже есть. а вот systemd нету.
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

25. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
Сообщение от Аноним (141), 30-Мрт-24, 13:32
>Jigar Kumar в апреле 2022 года способствовал принятию в xz ранних патчей Jia Tan c реализацией поддержки строковых фильтров и оказывал моральное давление на Lasse Collin, тогдашнего сопровождающего, критикуя, что он не способен выполнять свои обязанности и не принимает полезные патчи. В июне Lasse Collin согласился, что проекту нужен новый сопровождающий, посетовал на выгорание и проблемы с психическим здоровьем, и передал право мэйнтейнера Jia Tan. Вот что CoC животворящий делает!
Ответить | Правка | Наверх | Cообщить модератору

	175. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от aname (?), 31-Мрт-24, 02:28
	Надеюсь, CoC и дальше будет жить. Потому, что весело.
	Ответить | Правка | Наверх | Cообщить модератору

29. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
Сообщение от AKTEON (?), 30-Мрт-24, 13:41
Сам напросился и пролез. Всего лишь. А теперь представьте, что там может натворить скромная уругвайская разведка с трешником на подкуп президента ...
Ответить | Правка | Наверх | Cообщить модератору

	44. Скрыто модератором	+1 +/–
	Сообщение от Аноним (39), 30-Мрт-24, 14:03
	Что? А то звучит так словно ты предполагаешь что разведка компетентнее рандомного васи.
	Ответить | Правка | Наверх | Cообщить модератору

	146. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
	Сообщение от robot228 (?), 30-Мрт-24, 20:25
	Я ведь уже блин писал в сети как работает разведка, спецслужбы етк. Берётся отправляется американец/китаец/араб или кто угодно в любую страну, женится, появляется ребёнок который начинает учиться и параллельно готовится спецслужбой. Через 30 лет он устраивается в гугл/атомку/ядерку любую область и начинает сливать данные. Эти методы известным всему миру. Этот же чел с 2022 просочился. Эти так сказать интернетные хакеры пока ещё только учится и хорошо что они методы разведки не знают) Кстати именно поэтому лидер северной корее не просто исследует генеалогическое древо охранников которых к себе набирает, а и их круг общения. То есть там не в паранойе дело а в контр-методах.
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

	176. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от aname (?), 31-Мрт-24, 02:31
	Чел успешно внедрился и всё было хорошо, пока не обосрался на этапе написания хорошего, годного кода. В этой истории прекрасно буквально всё.
	Ответить | Правка | Наверх | Cообщить модератору

	167. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Отражение луны (ok), 30-Мрт-24, 23:42
	Это скорее всего она и есть
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

53. "Ретроспектива продвижения бэкдора в пакет xz"	–2 +/–
Сообщение от Rev (?), 30-Мрт-24, 14:25
> В организации продвижения бэкдора также замечены ещё два участника - Jigar Kumar и Hans Jansen, которые, судя по всему, являются виртуальными персонажами. Всё-таки надо подтверждать личности разработчиков и мэинтейнеров.
Ответить | Правка | Наверх | Cообщить модератору

	74. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от timur.davletshin (ok), 30-Мрт-24, 15:26
	По паспорту непременно. Чтобы кого надо только были разработчики.
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (141), 30-Мрт-24, 16:22
	https://state-services.gov/ ;)
	Ответить | Правка | Наверх | Cообщить модератору

	193. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
	Сообщение от Легивон (?), 31-Мрт-24, 08:23
	Кем подтверждать? "Комитетом подтверждения" образованным RH, Microsoft и иже с ними? По мне лучше чтобы раз в пару лет выковыривали такие бекдоры.
	Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

58. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от birdie (ok), 30-Мрт-24, 14:32
Максим! Fedora 40 не была подвержена уязвимости, слава те, господи! Я чуть не обо**ался: https://lists.fedoraproject.org/archives/list/devel@lis.../
Ответить | Правка | Наверх | Cообщить модератору

	61. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от аннаним (?), 30-Мрт-24, 14:53
	>Jia Tan was very insistent in emails that we should update. здесь все джентльмены, а истинные джентльмены верят друг другу на слово
	Ответить | Правка | Наверх | Cообщить модератору

	84. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Kuromi (ok), 30-Мрт-24, 16:13
	Не, просто сейчас видят китайское имя и с сомнением прищуривают глаза. Времена-с такие. Прям как во время интернирования американских японцев...
	Ответить | Правка | Наверх | Cообщить модератору

	124. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (124), 30-Мрт-24, 19:16
	В Red Hat-овском отчёте сказано: "Fedora Linux 40 users may have received version 5.6.0, depending on the timing of system updates".
	Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

59. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
Сообщение от Аноним (59), 30-Мрт-24, 14:32
И опять microsoft за день сделала для опенсорса больше чем все любители вместе взятые.
Ответить | Правка | Наверх | Cообщить модератору

	62. "Ретроспектива продвижения бэкдора в пакет xz"	–1 +/–
	Сообщение от birdie (ok), 30-Мрт-24, 14:59
	И всё равно они "зло".
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Ретроспектива продвижения бэкдора в пакет xz"	–1 +/–
	Сообщение от Аноним (78), 30-Мрт-24, 15:10
	А почему это "лучший друг опенсорса" у тебя "зло"? Кончено, с такими друзьями врагов не надо, но пользы они приносят больше того же гулага.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Ретроспектива продвижения бэкдора в пакет xz"	+3 +/–
	Сообщение от Аноним (78), 30-Мрт-24, 15:02
	Ты имеешь в виду, что МС и внедрила? Не исключено. Сначала внедряем малварь в полудохлый популярный проект, потом вовремя находим, топим дальше за цифровую тюрьму.
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

	139. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от scriptkiddis (?), 30-Мрт-24, 20:03
	This!
	Ответить | Правка | Наверх | Cообщить модератору

	161. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от капитошка2 (?), 30-Мрт-24, 22:20
	а причем тут ms? работник из ms нашел уязвимость...
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

	177. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от aname (?), 31-Мрт-24, 02:33
	Никогда такого не было, и вот опять ©
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

60. "Ретроспектива продвижения бэкдора в пакет xz"	+3 +/–
Сообщение от Аноним (60), 30-Мрт-24, 14:38
Ох и ржачная история. Чел с 2022 года, как истинный стратег, шаг за шагом реализовал свой темный коварный план на протяжении двух лет - чтобы потом за месяц его раскусили. У него по ходу не все в порядке с головой. Ей богу, даже не верится, что это не какой-то нелепый анекдот.
Ответить | Правка | Наверх | Cообщить модератору

	67. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Аноним (67), 30-Мрт-24, 15:09
	> Ох и ржачная история. Чел с 2022 года, как истинный стратег, шаг > за шагом реализовал свой темный коварный план на протяжении двух лет > - чтобы потом за месяц его раскусили. У него по ходу > не все в порядке с головой. > Ей богу, даже не верится, что это не какой-то нелепый анекдот. Причём здесь человек, это вполне может быть какая-нибудь трёхбуквенная контора.
	Ответить | Правка | Наверх | Cообщить модератору

	134. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (127), 30-Мрт-24, 19:45
	sap ?
	Ответить | Правка | Наверх | Cообщить модератору

	162. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
	Сообщение от аннаним (?), 30-Мрт-24, 22:54
	p&g
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Слава Линуксу (?), 30-Мрт-24, 15:49
	Самое интересное, что он не один такой. Другие, пока что не вскрыли свои карты...
	Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

	83. "Ретроспектива продвижения бэкдора в пакет xz"	+3 +/–
	Сообщение от Kuromi (ok), 30-Мрт-24, 16:11
	На самом деле нет. Это как в фильмах про вычурные планы ограбления банка - все продумано до мелочей, а потом охранник во время обхода спотыкается, падает, разбивает себе нос, бежит в сторожку и сносит весь план целиком. Тут тоже самое, план был хитрый, но вот сложилось так что чел из Микроса решил покопать код от скуки и вот - Скандалы, Интриги, Расследования на опеннете. А сколько таких планов успешно завершились? Сколько таких патчей от Мань Дай Чай и Сень Дуй Сам-ов уже давно ждет своего часа?
	Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

	113. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (-), 30-Мрт-24, 18:02
	> Это как в фильмах про вычурные планы ограбления банка - все продумано до мелочей, а потом охранник во время обхода спотыкается Это художественная выдумка. Чем более вычурный план, тем больше в нём точек отказа, тем больше непредсказуемых событий могут повлиять на ход этого плана. И даже если каждое из этих событий имеет вероятность 0.01, то они запросто могут суммироваться в 0.9. Поэтому вычурные планы не работают. Чтобы вычурные планы работали бы, они должны развиваться эволюционно, через много проб и ошибок. То есть примерно так же, как и любая технология: хочешь запустить ракету, придётся несколько ракет взорвать на неудавшихся запусках. Проделывая такое многократно, можно научиться создавать ракету и успешно запускать её с первой попытки, так как это NASA с SLS сделала, но если ты поинтересуешься этой историей, ты увидишь характерные черты для таких сложных планов, сработавших с первой попытки: все сроки сорваны по нескольку раз, бюджет превзошёл все разумные и неразумные границы, и теперь все сидят, чешут репу и не знают, что делать с SLS. Списать его в провальные проекты и забыть о нём, чтобы не тратить больше денег, или может запустить его ещё пару раз, чтобы сделать свой провал чуть менее очевидным, и после этого списать. Но план развивающийся эволюционно, через много применений, имеет примерно ноль шансов остаться незамеченным.
	Ответить | Правка | Наверх | Cообщить модератору

	202. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (202), 31-Мрт-24, 10:34
	Это всё при условии что это одиночка, что далеко не факт. Кто бы за этим ни стоял, там может быть сотня таких Джанов Танов пропихивающий вредоносные патчи в тысячи различных полудохлых пакетов, за которыми никто не следит. И вот тут уже, даже если вероятность фейла каждого отдельного Тана 0.9, кто-нибудь из них да преуспеет.
	Ответить | Правка | Наверх | Cообщить модератору

	226. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (-), 31-Мрт-24, 17:54
	Это может работать только в том случае, если такие атаки действительно можно проводить массово и дёшево. И если возможные методы защиты от такого зашкаливающе дороги. Вот этот джун тан спалился и что будет дальше, как ты думаешь? Народ для начала разберёт как этот джун тан действовал, как он мог действовать эффективнее, и начнёт прикрывать лазейки. Начнёт, например, использовать статические анализаторы в принудительном порядке, и исправлять все варнинги, которые те дают, чтобы сделать обфускацию ещё сложнее. Начнёт все обновления пакетов гонять под валгриндом, требуя отсутствие варнингов. Будет тестовые программы autotools и cmake прогонять через статические анализаторы, приводя их к единому стилю. Проводить аудиты пакетов. Писать спецификации и проверять код на соответствие спецификациям. ... Это всё обойдётся атакуемому не бесплатно, но вероятности успеха вычурных планов уменьшатся на пару порядков и мало того реализация каждого плана станет дороже, потому что одного джуна тана будет уже недостаточно. А если атакующий будет настаивать, то система защиты будет набирать датасет о попытках атак, и оттачивать стратегию, вплоть до тренировки AI, который будет мониторить всё и вызывать команду аудиторов на любой подозрительный коммит. Подковёрные атаки могут работать пока они подковёрные, как только они прекращают быть подковёрными, они в пролёте. И в данном случае, защищающаяся сторона оказывается в выигрыше, потому что она будет в результате разрабатывать методы разработки надёжного софта, в то время как атакующая сторона будет отрабатывать навыки, которые абсолютно бесполезны за пределами этой узкой сферы деятельности. Вычурные планы работают только в художественных произведениях, потому что реальные дела слишком скучны. Минимизация рисков, минимизация потерь, постоянные оптимизации, длинные подготовки... 90% этой деятельности слишком скучна для художественного произведения, а то что не скучно понятно только специалисту.
	Ответить | Правка | Наверх | Cообщить модератору

	115. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (115), 30-Мрт-24, 18:26
	Если чувак на зарплате в чем проблема? Заплатишь 100к бачинских чуваку за внедрение бэкдора, зато какой профит если это дойдет до проадкшен серверов.
	Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

	187. "Ретроспектива продвижения бэкдора в пакет xz"	–1 +/–
	Сообщение от Аноним (187), 31-Мрт-24, 06:30
	100к за вечный бан на трудоустройство в денежных компаниях как-то слишком дёшево. В принципе мизерная сумма по западным меркам
	Ответить | Правка | Наверх | Cообщить модератору

	147. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от robot228 (?), 30-Мрт-24, 20:28
	> Ох и ржачная история. Чел с 2022 года, как истинный стратег, шаг > за шагом реализовал свой темный коварный план на протяжении двух лет > - чтобы потом за месяц его раскусили. У него по ходу > не все в порядке с головой. > Ей богу, даже не верится, что это не какой-то нелепый анекдот. Погоди, хакеры интернетные спустя 40 лет только учиться начинают https://www.opennet.ru/openforum/vsluhforumID3/133256.html#146
	Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

81. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Kuromi (ok), 30-Мрт-24, 16:06
Судя по имени - китайса? С другой стороны, это имя тоже ничего не значит, но внедреж впечатляющий.
Ответить | Правка | Наверх | Cообщить модератору

	93. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (93), 30-Мрт-24, 16:40
	Китайцам доверять - себя не уважать. И так во всем, от договоров до их поделок, включая технику и авто.
	Ответить | Правка | Наверх | Cообщить модератору

	101. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Аноним (101), 30-Мрт-24, 16:53
	Уверены,что это имя реального человека?
	Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

	111. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
	Сообщение от нах. (?), 30-Мрт-24, 17:38
	Ну ты вот каждый фейковый акаунт на шитхабе заводишь на John Smith, или все же на "Васья Пупкин"? Вот и китаец вполне реальный, а имя... имя можно от другого китайца, все равно все одинаковые.
	Ответить | Правка | Наверх | Cообщить модератору

	114. "Ретроспектива продвижения бэкдора в пакет xz"	–6 +/–
	Сообщение от Аноним (-), 30-Мрт-24, 18:18
	> Судя по имени - китайса? Судя по идиотизму истории, можно сделать вывод что этим занималась бюрократия или какой-то школьнег с нулём жизненного опыта, потому что план был обречён на провал. Я не читал переписки, но думаю, что гипотезу школьнега можно отмести, значит остаётся бюрократия. Причём бюрократия эта, либо коррумпирована насквозь и ей лишь бы бабло распилить, а результат не важен абсолютно, либо для неё это первая попытка, после которой можно ждать либо повтора, либо повышения уровня игры. А вот чья это бюрократия, я не знаю. Вряд ли NSA, те проворачивали подобные операции внедрения бекдоров, они даже бекдоры на уровне стандартов проталкивали, то есть у них есть опыт организации подобного, а значит настолько тупо они бы не стали себя вести. Остаётся Китай, Россия... Есть ещё всякие индии, саудиты, европейские страны, но для них я бы базовую вероятность такой попытки держал ниже. Китай с РФ сложно сравнивать, у кого опыта внедрения бекдоров меньше и бюрократия тупее/коррумпированнее? Если совсем в метафизику удариться, то в пользу гипотезы РФ говорит то, что для того, чтобы верить что такой план сработает, надо считать всех вокруг идиотами, и все социальные системы дисфункциональными и существующими только как ширма, за которой какая-то подковёрная игра происходит. И если послушать пропаганду РФ, то это основная её идея, которая проталкивается всегда, при любом поводе и без повода тоже. Но это реально метафизика и идеология. Очень слабое свидетельство.
	Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

	179. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Аноним (179), 31-Мрт-24, 02:38
	Ничего себе идиотизм - разработали весьма хитрый способ внедрения малварного кода, провернули блестящую социнженерию, и практически к успеху пришли, были бы чуть аккуратнее, и никто ничего бы еще несколько лет не заметил.  И даже так еще неизвестно, что в версиях до 5.6.x, код ведь уже два года коммитили.
	Ответить | Правка | Наверх | Cообщить модератору

	203. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (203), 31-Мрт-24, 11:00
	Да ещё и блестящая обфускация - код уже второй день ковыряют security-специалисты, но всё равно ещё на 100% не изучили функционал зонда.
	Ответить | Правка | Наверх | Cообщить модератору

	227. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (-), 31-Мрт-24, 17:59
	> разработали весьма хитрый способ внедрения малварного кода Ты на результат смотри, а не на хитрость кода. Неизбежный провал оказался неизбежен. > практически к успеху пришли Ага. Факт в том, что не пришли. > были бы чуть аккуратнее, и никто ничего бы еще несколько лет не заметил Да-да. Шли по минному полю, наступили на мину, и ты теперь рассужаешь, что если бы они не наступили на эту мину, то к успеху бы пришли. Не наступили бы на эту, наступили бы на следующую. > И даже так еще неизвестно, что в версиях до 5.6.x, код ведь уже два года коммитили. Кек. $ xz --version xz (XZ Utils) 5.4.5 liblzma 5.4.5
	Ответить | Правка | К родителю #179 | Наверх | Cообщить модератору

	184. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
	Сообщение от Аноним (184), 31-Мрт-24, 05:12
	> существующими только как ширма, за которой какая-то подковёрная игра происходит Ну раз ты это уже знаешь, остается только принять мир таким, каков он есть. И тогда повзрослеешь. Тут недавно вон, Томас Бах напрямую признался, что решения он принимает "политические". И по-другому не может. Олимпийский комитет ширма, за которой какая-то подковёрная игра? Никогда не было и вот опять?
	Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

	229. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (-), 31-Мрт-24, 18:23
	> Ну раз ты это уже знаешь, остается только принять мир таким, каков он есть. И тогда повзрослеешь. Прежде чем объяснять мне, как взрослеть, тебе бы не помешало бы самому сделать то же самое. Ты слышал про "чёрно-белое мышление"? Да? А теперь попробуй повтыкать в философию, чтобы понять какие альтернативы этому есть. Начни с древних греков, они придумали разделение на идеальность и реальность. Я отмечу, что такие копания могут оказаться тебе полезными, если ты инженер например. В инженерном деле тоже есть много идеальностей и реальностей, например модель и моделируемый объект. Но древние греки лишь самые азы расковыряли, ты же можешь добраться до Критики Чистого Разума Канта и до абсолютного идеализма Гегеля. > Тут недавно вон, Томас Бах напрямую признался, что решения он принимает "политические". И по-другому не может. > Олимпийский комитет ширма, за которой какая-то подковёрная игра? Это не подковёрная игра, это то, что на поверхности. Подковёрная игра, это когда спрятано и не видно. А действия олимпийского комитета, как раз прозрачны. Его бодания с другими агентами, пытающимися влиять на его решения тоже все видны, и ты можешь читать о них в новостях. Это всё явные вещи, всё работает так как задумано и в полном соответствии с тем, что видно. О дисфункциональности может говорить только жертва чёрно-белого мышления, которая в качестве идеала рисует себе какой-то нереалистичный рай на земле, с тем чтобы тут же ввалится в цинизм, в веру в то, что всё хуже, чем он в состоянии помыслить. Есть теза -- идеализм, есть антитеза -- цинизм, через эти две фазы проходит каждый, погружаясь в цинизм годам к 20, но следующий этап (в терминах Гегеля синтез), уже даётся не всем, чему ты живое подтверждение. Что в этом самое умилительное, так это то, что циники став циниками в 20 лет, будут потом в 50 лет считать всех не циников наивными детьми. То есть они сами на 30 лет застряли в подростковом нигилизме, но дети не они, а все вокруг них.
	Ответить | Правка | Наверх | Cообщить модератору

89. "Ретроспектива продвижения бэкдора в пакет xz"	+5 +/–
Сообщение от Всем Анонимам Аноним (?), 30-Мрт-24, 16:29
> был зарегистрирован в качестве участника проекта Debian туда нормальному человеку вообще не попасть, в Debian, даже если ты захочешь им помочь чем-то
Ответить | Правка | Наверх | Cообщить модератору

92. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Аноним (92), 30-Мрт-24, 16:38
Заявление от Лассе Коллина, основного разработчика xz: https://tukaani.org/xz-backdoor/ Он напрямую обвиняет Jia Tan в создании тарболов с бекдором.
Ответить | Правка | Наверх | Cообщить модератору

	107. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (107), 30-Мрт-24, 17:25
	Верим-верим, 146% что это не Лассе Коллин под sockpuppetом!
	Ответить | Правка | Наверх | Cообщить модератору

	108. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Hamanit (ok), 30-Мрт-24, 17:26
	Прекрасно, человек на связи  и теперь дальше может продолжить работу над проектом😀
	Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

97. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Аноним (101), 30-Мрт-24, 16:45
Если после этого везде выпилят xz, то как тогда работать с архивами tar.xz?
Ответить | Правка | Наверх | Cообщить модератору

	103. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Аноним (141), 30-Мрт-24, 16:59
	Да выкинут тот бекдор вместе с нынешним мейнтером и дальше поедут.
	Ответить | Правка | Наверх | Cообщить модератору

	137. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (169), 30-Мрт-24, 19:54
	7-zip их поддерживает.
	Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

104. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
Сообщение от Hamanit (ok), 30-Мрт-24, 17:00
FAQ on the xz-utils backdoor🫡 https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78b... кому то может быть полезно
Ответить | Правка | Наверх | Cообщить модератору

105. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Аноним (105), 30-Мрт-24, 17:06
Ну вот тут - нашли. А интересно, в скольких случаях - не нашли?
Ответить | Правка | Наверх | Cообщить модератору

	130. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (130), 30-Мрт-24, 19:31
	В ядре шинды и мака пока что ничего не нашли.
	Ответить | Правка | Наверх | Cообщить модератору

	145. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (141), 30-Мрт-24, 20:24
	Потому что заобскьюрено.
	Ответить | Правка | Наверх | Cообщить модератору

	186. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (186), 31-Мрт-24, 05:55
	Ну то есть в одном случае нашли и в двух не нашли? Ну тогда свободное по явно в плюсе)
	Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

	224. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (224), 31-Мрт-24, 17:36
	Так там еще только 100 строчек кода на Расте, просто не успели внедрить.
	Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

106. "Ретроспектива продвижения бэкдора в пакет xz"	–1 +/–
Сообщение от Аноним (106), 30-Мрт-24, 17:07
Linux, Windows, а про Android забыли. В этой стране официальный маркетплейс Google.Play банит российский софт, пользователи вынуждены ставить софт из недостоверных источников. Ставят блобы, предоставляют полный доступ. Такая беспечность не только может привести к порче данных и железа, но может симулировать противозаконную деятельность пользователя, что чревато уголовкой.
Ответить | Правка | Наверх | Cообщить модератору

	129. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (130), 30-Мрт-24, 19:31
	Может потому что сайт гугл плей забанен?
	Ответить | Правка | Наверх | Cообщить модератору

	198. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Аноним (198), 31-Мрт-24, 09:41
	как же это случилось?
	Ответить | Правка | Наверх | Cообщить модератору

116. "Ретроспектива продвижения бэкдора в пакет xz"	+3 +/–
Сообщение от люблю Стекляные бусы (?), 30-Мрт-24, 18:44
История поучительная, но совсем не эпичная. И внедряли/маскировали дырочку кривовато и слабовато (даже без модного нонче sleep obfuscation), и нашли быстро. Занятно будет, когда подобные патчи будут найдены в каком-нибудь открытом ядре RISC-V. Хотя, при правильном подходе, шанс обнаружить стремится к нулю - сильно меньше народу реально понимающего как их можно поиметь. А если учесть ходы через последующую смену полярности примеси, то на уровне открытой/доступной (видимой через коммиты и т.п.) шансов обнаружить закладку примерно нет. Короче, жду... но видимо еще года три.
Ответить | Правка | Наверх | Cообщить модератору

	157. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Аноним (130), 30-Мрт-24, 21:18
	Риск5 говорящее название.
	Ответить | Правка | Наверх | Cообщить модератору

	191. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от n00by (ok), 31-Мрт-24, 08:11
	> История поучительная, но совсем не эпичная. > И внедряли/маскировали дырочку кривовато и слабовато (даже без модного нонче sleep obfuscation), > и нашли быстро. Слабовато - потому что на дату активизации этого "китайца" надобно обратить пристальное внимание. Тогда у соответствующей части полыхнуло и прилюдно клялись отомстить. Смысл троянить пользователей тестовой сборки Fеrdora в чём, где там гешефт? Внедрили как раз своим идейным собратьям с этой стороны, с машины "разработчика" можно много всяких интересных дел наворотить: "Собственная разработка российского происхождения, начиная от ядра и заканчивая пакетной базой." (ц) rosa2023.1-5.6.1-2 2024.03.30     rosa2023.1-5.6.1-1 2024.03.09     rosa2023.1-5.6.0-1 2024.02.25     rosa2023.1-5.2.9-1 2022.12.07 > Занятно будет, когда подобные патчи будут найдены в каком-нибудь открытом ядре RISC-V. RISC-V профи занимаются, а не вот эти, кому вечно кто-то в штаны навалал.
	Ответить | Правка | К родителю #116 | Наверх | Cообщить модератору

	208. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от аннаним (?), 31-Мрт-24, 12:29
	>rosa2023.1-5.6.0-1 2024.02.25     >rosa2023.1-5.2.9-1 2022.12.07 Вывод сокращен или они 2 года не обновляли а потом внезапно решили обновить?
	Ответить | Правка | Наверх | Cообщить модератору

	212. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (-), 31-Мрт-24, 15:41
	В общедоступной для скачивания Роса Фреш xz 5.2.9. Там вообще достаточно странная политика сопровождения пакетов, например, сейчас curl 8.5.0 с CVE-2024-2466 и CVE-2024-2398.
	Ответить | Правка | Наверх | Cообщить модератору

	221. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от n00by (ok), 31-Мрт-24, 17:28
	> вообще достаточно странная политика сопровождения пакетов Точно, странная. Иностранец за них исправил заменой zx на gz, а через 15 часов пришёл автономный разработчик и написал "это очень странно". I've read https://www.openwall.com/lists/oss-security/2024/03/29/4 and came to look which version of xz is in rosa2023.1, and you have already sone this... Thanks! But this is very strange. https://abf.io/import/xz/commit/1470895e3c645bb5605b12d5c64d...
	Ответить | Правка | Наверх | Cообщить модератору

	234. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (234), 31-Мрт-24, 20:05
	Роса 2023.1 ещё не успела выйти, а уже с бэкдором.
	Ответить | Правка | Наверх | Cообщить модератору

	247. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от n00by (ok), 01-Апр-24, 07:59
	Ну, из именно того пакетика бэкдор уже убрали. Зато с 02.25, пока это всё тестировалось на машинах разработчиков, с теми машинами могло случиться много всего интересного. Есть даже отличная от нуля вероятность, что "спалился" троян намеренно, что бы после замены zx на gz автономные разработчики успокоились.
	Ответить | Правка | Наверх | Cообщить модератору

	219. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от n00by (ok), 31-Мрт-24, 17:07
	rosa2023.1-5.6.1-2 2024.03.30     rosa2023.1-5.6.1-1 2024.03.09     rosa2023.1-5.6.0-1 2024.02.25     rosa2023.1-5.2.9-1 2022.12.07 rosa2021.15-5.2.9-1 2022.12.07 rosa2021.1-5.2.9-1 2022.12.07 rosa2021.1-5.2.5-4 2021.10.07 rosa2021.1-5.2.5-3 2021.08.11 Ещё добавил. Старую платформу они не обновляют. Новую начали делать и обновили. Самый ранний тег с годом 2023 - это клонирование старой платформы, что видно из даты. "Разработчики" естественно сами должны использовать новую, они же не директор, которому позволительно отвечать на письма с МакОС.)
	Ответить | Правка | К родителю #208 | Наверх | Cообщить модератору

120. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
Сообщение от pelmaniac (?), 30-Мрт-24, 19:01
Когда уже человечишки перестанут писать фичи ради кипиша? Большинство пакетов можно спокойно замораживать, в ядре обновлять только дрова. Ну файлуху путнюю одну дополировать. И будет всем щастье...
Ответить | Правка | Наверх | Cообщить модератору

	151. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (130), 30-Мрт-24, 20:56
	Фрибсд по факту заморожен, а толку?
	Ответить | Правка | Наверх | Cообщить модератору

121. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
Сообщение от Аноним (121), 30-Мрт-24, 19:12
Все носятся как ошпаренные с Jia Tan и xz-5.6.0, 5.6.1 (Using systemd on publicly accessible ssh: update RIGHT NOW NOW NOW) Но ни кто не бросает камни в Debian, которым пришло в голову пропатчить критический сервис удаленного доступа openssh для привязки его к systemd. И ради чего? Непатченый openssh замечательно стартует из systemd [Service] Type=simple Дык нет! Подавай им Type=notify
Ответить | Правка | Наверх | Cообщить модератору

	128. "Ретроспектива продвижения бэкдора в пакет xz"	–2 +/–
	Сообщение от Аноним (130), 30-Мрт-24, 19:29
	При чем тут Дебиан если все так же сделали. И генту и арч и даже Федора роухайд? Тут вопросы к Убунту почему она такая замечательная и не повелась на поводу у моды и не обновляется без аудита.
	Ответить | Правка | Наверх | Cообщить модератору

	143. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Аноним (143), 30-Мрт-24, 20:15
	Арч так не делал, на нём не сработало, но на всякий случай откатили назад версию, но под новым номером.
	Ответить | Правка | Наверх | Cообщить модератору

	150. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (130), 30-Мрт-24, 20:55
	Всё сработало раз объявили критикал https://security.archlinux.org/ASA-202403-1
	Ответить | Правка | Наверх | Cообщить модератору

	190. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (143), 31-Мрт-24, 07:56
	вот же по твоей ссылке ясно написано что не подвержено уязвимости: Impact ====== The malicious code path does not exist in the arch version of sshd, as it does not link to liblzma. However, out of an abundance of caution, we advise users to avoid the vulnerable code in their system as it is possible it could be triggered from other, un-identified vectors.
	Ответить | Правка | Наверх | Cообщить модератору

	204. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (203), 31-Мрт-24, 11:06
	Не сработало, более того, 5.6.1-1 и 5.6.1-2 оказались бинарно идентичными, просто последний собран из гита, а не протрояненного release-тарболла.
	Ответить | Правка | К родителю #150 | Наверх | Cообщить модератору

	152. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
	Сообщение от 1 (??), 30-Мрт-24, 20:56
	в генту тоже насколько я понял не срабатывает, так как нет связки с systemd
	Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

	153. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от 1 (??), 30-Мрт-24, 20:58
	In Gentoo, we don't patch net-misc/openssh with systemd-notify support which means liblzma, at least in the normal case, doesn't get loaded into the sshd process.
	Ответить | Правка | Наверх | Cообщить модератору

	188. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
	Сообщение от Аноним (187), 31-Мрт-24, 06:33
	Gentoo, как всегда, лучше всех. Тем более там и systemd может не быть
	Ответить | Правка | К родителю #152 | Наверх | Cообщить модератору

	160. "Ребятам про liblzma"	–2 +/–
	Сообщение от Алексей (??), 30-Мрт-24, 21:49
	Содержимое deb, rpm пакетов запаковано lzma. GCC использует lzma для сжатия отладочной информации. lzma используется для сжатия initramfs. Злоумышленник толково выбрал слабое место для атаки. А инфо-папуасы так и будут орать про "плохой" systemd. > Дык нет! Подавай им Type=notify Процесс запущен != сервис доступен. Именно поэтому, да, подавай.
	Ответить | Правка | К родителю #121 | Наверх | Cообщить модератору

	166. "Ребятам про liblzma"	+3 +/–
	Сообщение от Аноним (121), 30-Мрт-24, 23:40
	>Процесс запущен != сервис доступен. Именно поэтому, да, подавай Если бы ты еще объяснил инфо-папуасам нахрена systemd (и всем остальным на хосте по D-bus) знать что запущен sshd? Как эта "ценная" информация используется? Поднять sshd, если упал? Так systemd прекрасно это делает и при Type=simple. Причина только одна: "а пусть будет" - так поступают настоящие не инфо-папусы, благодаря которым имеем этот бакдор.
	Ответить | Правка | Наверх | Cообщить модератору

	249. "Ребятам про Type=notify"	+/–
	Сообщение от Алексей (??), 01-Апр-24, 09:47
	> Поднять sshd, если упал? Нет. Попытаться снова поднять, если не поднялся. > Так systemd прекрасно это делает и при Type=simple. Не всегда. Бывают состояния вида "sshd запустился, а порт слушать не может", "sshd запустился, а прочитать (kerberos) keytab не смог", и ещё 100500 ситуаций, которые не укладываются в "процесс не запустился/упал".
	Ответить | Правка | Наверх | Cообщить модератору

	256. "Ребятам про Type=notify"	+/–
	Сообщение от Аноним (121), 01-Апр-24, 14:07
	>Бывают состояния вида "sshd запустился, а порт слушать не может" Ну как в этом случае тебя спасет Type=notify? Возьмешь ноут и срочно поедешь в ЦОД, работать локальным systemd :-)
	Ответить | Правка | Наверх | Cообщить модератору

	262. "Ребятам про Type=notify"	+/–
	Сообщение от Аноним (259), 01-Апр-24, 20:10
	Если notify вызывается в нужном месте кода, после открытия порта, получения kerberos и т.п., то проблемы с этим и как следствие отсутствие notify заставит systemd перезапустить sshd.
	Ответить | Правка | Наверх | Cообщить модератору

	270. "Ребятам про liblzma"	+/–
	Сообщение от pavlinux (ok), 02-Апр-24, 16:33
	Мимо! > Содержимое deb, rpm пакетов запаковано lzma. lzma (since dpkg  1.14.0;  deprecated) > GCC использует lzma для сжатия отладочной информации. https://gcc.gnu.org/onlinedocs/gcc/Debugging-Options.html -gz[=type] Produce compressed debug sections in DWARF format, ... gcc: note: valid arguments to ‘-gz=’ are: none zlib zlib-gnu > lzma используется для сжатия initramfs. Везде, из коробки GZIP.  Дистры васянов не изучал.
	Ответить | Правка | К родителю #160 | Наверх | Cообщить модератору

	235. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Аноним (235), 31-Мрт-24, 21:06
	> Но никто не бросает камни в Debian, которым пришло в голову > пропатчить критический сервис удаленного доступа openssh для привязки его к systemd. Да, тоже удивило. Либо этому факту 0 внимания, либо "ыыыааа снова systemd". > И ради чего? Непатченый openssh замечательно стартует из systemd > [Service] Type=simple > Дык нет! Подавай им Type=notify Процесс запущен != готов к работе. Эти уведомления помогают не только отлаживающему работу администратору (ему видно, activating или active), но и прямо влияют на граф зависимостей. Если что-то в транзакции оказалось After=sshd и предназначено к старту, то оно должно быть запущено не после того, как sshd отфоркался, а когда он сообщил, что готов. Ну, и для ряда других юнитов это гораздо полезнее, чем для sshd. Смешнее всего, что для того, чтобы реализовать протокол этих уведомлений о готовности со стороны деймона, достаточно обратиться к NOTIFY_SOCKET и написать туда "READY=1\n", и всё. После этого (так как сообщения о статусе при работе отправлять незачем) лучше закрыть этот сокет и убрать переменную окружения. Это несколько десятков строк на си, но в дебиане и федоре решили втащить целую библиотеку со своими паразитными зависимостями во славу leftpad. https://src.fedoraproject.org/rpms/openssh/blob/176421c4e42b... https://salsa.debian.org/ssh-team/openssh/-/commit/59d17e908...
	Ответить | Правка | К родителю #121 | Наверх | Cообщить модератору

	239. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (121), 31-Мрт-24, 23:25
	Это все понятно и даже выглядит логично. НО! Можешь подсказать, или даже придумать гипотетический сервис (только более-менее реальный), которому требуется запуск After=sshd?
	Ответить | Правка | Наверх | Cообщить модератору

	240. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (235), 01-Апр-24, 00:04
	Чтобы sshd включался при runlevel 3, у его юнита в секции [Install] написано WantedBy=multi-user.target. У multi-user.target (он же в былые времена runlevel 3) неявно присутствует After= на всё, что поставило себе WantedBy=multi-user.target. Все, кто After=multi-user.target, окажутся и After=sshd.service тоже.
	Ответить | Правка | Наверх | Cообщить модератору

	241. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (121), 01-Апр-24, 00:21
	Вопрос был о другом. Какому сервису *требуется* старт After=sshd, не важно явно или через multi-user.target? Иными словами: какой сервис не сможет функционировать, если не запущен sshd? Нет таких сервисов. И вот ради добавления бесполезного функционала, в реальности абсолютно невостребованного, Debian опять сдуру лезет патчами в security приложения. Патч openssl в 2008 г. их ни чему не научил (OpenSSL Random Number Bug in Debian Linux https://www.schneier.com/blog/archives/2008/05/random_number...)
	Ответить | Правка | Наверх | Cообщить модератору

138. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Аноним (136), 30-Мрт-24, 20:01
> Ну да, только даже gzip сжимает лучше. На Пенни. Сейчас мир больших облаков и HDD, чего мелочиться как детям.
Ответить | Правка | Наверх | Cообщить модератору

144. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
Сообщение от Аноним (144), 30-Мрт-24, 20:22
Вот что выходит когда пренебрегают безопасным языком, который умеет безопасно работать с памятью.
Ответить | Правка | Наверх | Cообщить модератору

	225. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (224), 31-Мрт-24, 17:47
	Бэкдоры обнаруживают, а не спят годами в cargo?
	Ответить | Правка | Наверх | Cообщить модератору

155. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
Сообщение от Аноним (-), 30-Мрт-24, 21:14
Уровень эпичности всей этой истории - 98%. Операция длилась два года и такой провал и все из-за того что какой-то Andres Freund не в свое дело полез. Представляю как наверное обидно. История с внедрением бэкдора началась в 2022-м. Предствляю как сейчас в каком-нибудь институте ребят успокаивают, ничего, в следующий раз лучше получится.
Ответить | Правка | Наверх | Cообщить модератору

	156. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (130), 30-Мрт-24, 21:16
	Ну тут надо смотреть что первичнее Андрес или жор процессора в определенных условиях. Ведь не было бы последнего прокола никто бы может и не полез смотреть что там.
	Ответить | Правка | Наверх | Cообщить модератору

159. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Аноним (159), 30-Мрт-24, 21:36
Санта Барбара. Садить надо за такое, найти и посадить, чтобы неповадно было.
Ответить | Правка | Наверх | Cообщить модератору

	195. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (195), 31-Мрт-24, 09:15
	Ну найди.
	Ответить | Правка | Наверх | Cообщить модератору

163. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от AKTEON (?), 30-Мрт-24, 23:20
Кстати говоря, закачал сейчас последний veracrypt на  debian testnig . Вылет на линковке (process:43033): GLib-GObject-CRITICAL **: 23:18:02.881: g_object_get: assertion 'G_IS_OBJECT (object)' failed free(): invalid pointer Aborted (core dumped) make[1]: *** [Main.make:165: veracrypt] Error 1 make: *** [Makefile:529: all] Error 2 У меня закрадываются подозрения ... Если там падает сам линкер ....
Ответить | Правка | Наверх | Cообщить модератору

	165. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (78), 30-Мрт-24, 23:34
	Подозрения, что ты скачал файлы собранные под другой дистрибутив?
	Ответить | Правка | Наверх | Cообщить модератору

	168. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от авпапварт (?), 30-Мрт-24, 23:43
	Подтверждаю. git clone https://github.com/veracrypt/VeraCrypt git log commit 6e28375060e043e9039bac4d292ecbcc5e94b08d (HEAD -> master, origin/master, origin/HEAD) Author: Mounir IDRASSI <mounir.idrassi@idrix.fr> Date:   Sat Dec 16 00:51:36 2023 +0100 cd /veracrypt/src/Build ./build_cmake_deb.sh Падение на сборке
	Ответить | Правка | Наверх | Cообщить модератору

	171. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (171), 31-Мрт-24, 01:48
	Проблема в wxWidgets, решение там приведено https://github.com/veracrypt/VeraCrypt/issues/1263
	Ответить | Правка | К родителю #163 | Наверх | Cообщить модератору

	181. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (181), 31-Мрт-24, 02:52
	Бросайте этот veracrypt, заместо него есть LUKS. Или хочется GUI и еще один вектор атаки на систему?
	Ответить | Правка | К родителю #163 | Наверх | Cообщить модератору

	201. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (198), 31-Мрт-24, 10:01
	И как будет работать LUKS при установке другого дистрибутива с другой версией ядра?
	Ответить | Правка | Наверх | Cообщить модератору

	207. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (-), 31-Мрт-24, 12:17
	Нормально. Я даже флэшки им шифрую.
	Ответить | Правка | Наверх | Cообщить модератору

	246. "устойчивость крипто-контейнера LUKS к смене версии ядра"	+/–
	Сообщение от Грязный Гарри (-), 01-Апр-24, 05:45
	> И как будет работать LUKS при установке другого дистрибутива с другой версией ядра? Прекрасно будет работать, потому что хранит параметры шифрации в своём заголовке. При открытии крипто-контейнера параметры считываются оттуда.
	Ответить | Правка | К родителю #201 | Наверх | Cообщить модератору

	250. "Учу читать. Недорого."	+/–
	Сообщение от Алексей (??), 01-Апр-24, 09:57
	> (process:43033): GLib-GObject-CRITICAL **: 23:18:02.881: g_object_get: assertion 'G_IS_OBJECT (object)' failed > free(): invalid pointer > Aborted (core dumped) > Если там падает сам линкер 1) Ни GNU ld (binutils), ни lld (llvm) НЕ используют glib. 2) Если падает компоновщик, значит в нём есть ошибка (его тоже не ангелы небесные писали).
	Ответить | Правка | К родителю #163 | Наверх | Cообщить модератору

164. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Аноним (78), 30-Мрт-24, 23:34
Некоторые пакеты статически линкуют libunwind и статическая libunwind требует статические файлы xz-utils. У меня ощущение, что планы были большие, спешка обернулась провалом. Есть причины нервничать?
Ответить | Правка | Наверх | Cообщить модератору

	172. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Sw00p aka Jerom (?), 31-Мрт-24, 01:51
	>У меня ощущение, что планы были большие, спешка обернулась провалом. поживем увидем :) Это должна была быть ответкой, своего рода в час Х. Ну вот и в спешке накосячили конкретно. Пахнет знакомым "распи**дяйством" :)
	Ответить | Правка | Наверх | Cообщить модератору

178. Скрыто модератором	+/–
Сообщение от Аноним (198), 31-Мрт-24, 02:33
Никогда не было в сертифицированных астре, альте и росе (нет).
Ответить | Правка | Наверх | Cообщить модератору

180. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
Сообщение от Аноним (198), 31-Мрт-24, 02:46
Вот дурень, сперва надо было получить все награды от гугла, а потом палиться.
Ответить | Правка | Наверх | Cообщить модератору

194. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
Сообщение от Аноним (-), 31-Мрт-24, 08:35
Альт неуязвим!
Ответить | Правка | Наверх | Cообщить модератору

	205. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от аннаним (?), 31-Мрт-24, 11:25
	Не обновляли хз с 2021 года. Красавцы :)
	Ответить | Правка | Наверх | Cообщить модератору

	213. Скрыто модератором	+/–
	Сообщение от Аноним (-), 31-Мрт-24, 15:51
	А в Росе версия 2022 года, но тоже неуязвима! Роса лучше Альта! А ещё у неё LUKS в установщике есть.
	Ответить | Правка | Наверх | Cообщить модератору

209. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от mustai (ok), 31-Мрт-24, 15:01
Технично. Социальная инженерия для смены сопровождающего. Исправление бага через создание вредоносной функции. Отключение проверки функции под предлогом, что проверка её ломает.
Ответить | Правка | Наверх | Cообщить модератору

210. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Аноним (101), 31-Мрт-24, 15:05
Чтобы избавиться от бэкдора достаточно вернуть xz-5.4?
Ответить | Правка | Наверх | Cообщить модератору

	237. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (-), 31-Мрт-24, 22:12
	Да, но вас могли уже взломать.
	Ответить | Правка | Наверх | Cообщить модератору

217. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Аноним (217), 31-Мрт-24, 16:58
> В июне Lasse Collin согласился, что проекту нужен новый сопровождающий, посетовал на выгорание и проблемы с психическим здоровьем ... Оказывается выгорание очень опасно. У меня сначало было выгорание на неделю, потом на две, потом я восстанавливался месяц, потом два, три. Потом не мог восстановиться год. Недавно мне досталась по работе очень сложная задача с контейнерами под винду. Месяц я возился. Потом полтора месяца отдыхал. А потом началось, свист в ушах, головокружение. Это длилось неделю, потом я узнал, что нужно пить таблетки циннаризин. Вот уже месяц на таблетках, вроде как нужно пить полгода. Вот такие дела. Осторожнее с выгоранием.
Ответить | Правка | Наверх | Cообщить модератору

	228. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от АнонПапка (?), 31-Мрт-24, 18:23
	> Недавно мне досталась по работе очень сложная задача > с контейнерами под винду. Месяц я возился. Потом полтора месяца отдыхал. > А потом началось, свист в ушах, головокружение. 🤣🤣🤣 вы там осторожней с контейнерами под винду! Контейнеры надо юзать в Линаксе, тогда свиста в ушах не будет 😂
	Ответить | Правка | Наверх | Cообщить модератору

	267. Скрыто модератором	+/–
	Сообщение от Алексей (??), 02-Апр-24, 08:56
	> А потом началось, свист в ушах, головокружение. Это длилось неделю, потом > я узнал, что нужно пить таблетки циннаризин. Поразгружать вручную вагоны месяц-два. Уголь в шахте порубить. На стройке бетонщиком пофигачить.
	Ответить | Правка | К родителю #217 | Наверх | Cообщить модератору

232. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
Сообщение от Аноним (224), 31-Мрт-24, 18:58
Хорошо что вообще обнаружили, причем благодаря случайности. А сколько таких же спящих бэкдоров дожидается своего времени например в репозитории cargo? Все же невозможно проверить.
Ответить | Правка | Наверх | Cообщить модератору

	236. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
	Сообщение от Аноним (-), 31-Мрт-24, 21:47
	Посмотрел репозиторий Cargo - там нет ни макросов m4, ни automake, только несколько bash скриптов для CI.
	Ответить | Правка | Наверх | Cообщить модератору

	244. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Neon (??), 01-Апр-24, 04:57
	А сколько в самом годе сидит. Ведь никто не будет каждый файл исходников досконально проверять и исследовать логику его работы
	Ответить | Правка | Наверх | Cообщить модератору

238. "Ретроспектива продвижения бэкдора в пакет xz"	+1 +/–
Сообщение от Аноним (238), 31-Мрт-24, 23:01
Сильно намудрил он с бекдором. Если бы процесс сборки и производительность не давали сбоев, никто бы не полез ковырять исходники и в теории можно было бы пропихнуть это дело в стабильные релизы дистров. А так всего пара мамкиных линуксойдов которые сидят на unstable ветках.
Ответить | Правка | Наверх | Cообщить модератору

	272. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от sunjob (ok), 03-Апр-24, 13:51
	да вы, прямо, переживает что "их" отловили?! :о)
	Ответить | Правка | Наверх | Cообщить модератору

248. "Ретроспектива продвижения бэкдора в пакет xz"	+2 +/–
Сообщение от Аноним (248), 01-Апр-24, 09:14
Интересно, а сколько ещё не выявленных задних дверей в других пакетах прячется? Скорее всего это только вершина айсберга.
Ответить | Правка | Наверх | Cообщить модератору

255. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Аноним (255), 01-Апр-24, 13:46
>  оказывал моральное давление на Lasse Collin, тогдашнего сопровождающего, критикуя, что он не способен выполнять свои обязанности и не принимает полезные патчи Вот, отличное доказательство того, что критиков надо слать на три буквы не стесняясь.
Ответить | Правка | Наверх | Cообщить модератору

	257. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (257), 01-Апр-24, 14:34
	> Вот, отличное доказательство того, что критиков надо слать на три буквы не стесняясь. Правильно, критики они же все хотят тебя подсидеть! Не может быть что в их критике есть рацианальное зерно! А потом будешь думать, а почему все разбежались и я проект сижу и пилю в одиночку)
	Ответить | Правка | Наверх | Cообщить модератору

	263. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от Аноним (263), 01-Апр-24, 23:06
	Таких, как эти Jigar Kumar и Hans Jansen — да. Ты открой почитай, там super-sus. Никто, звать никак, вчера зарегался, credibility 0, влетает в лист рассылки с абсолютно неконструктивной критикой. >Progress will not happen until there is new maintainer. XZ for C has sparse  commit log too. Dennis you are better off waiting until new maintainer happens or fork yourself. Submitting patches here has no purpose these days. The  current maintainer lost interest or doesn't care to maintain anymore. It is sad to see for a repo like this. > With your current rate, I very doubt to see 5.4.0 release this year. The only progress since april has been small changes to test code. You ignore the many patches bit rotting away on this mailing list. Right now you choke your repo. Why wait until 5.4.0 to change maintainer? Why delay what your repo needs?
	Ответить | Правка | Наверх | Cообщить модератору

	271. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
	Сообщение от sunjob (ok), 03-Апр-24, 13:50
	обычно-же критиканы пилят и поддерживают проекты?! :о)
	Ответить | Правка | К родителю #257 | Наверх | Cообщить модератору

268. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Аноним (-), 02-Апр-24, 14:20
Модель с тестированием и обкаткой приложений перед выпуском в официальный релиз еще раз доказала свою работоспособность. +1 Debian
Ответить | Правка | Наверх | Cообщить модератору

269. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от pavlinux (ok), 02-Апр-24, 16:18
> Получив права мэйнтейнера Jia Tan стал активно добавлять Дальше не интересно
Ответить | Правка | Наверх | Cообщить модератору

273. "Ретроспектива продвижения бэкдора в пакет xz"	+/–
Сообщение от Аноним (-), 03-Апр-24, 18:08
FreeBSD не зацепило.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема