XZ Utils, atak na Linuxa

Zagadnienia bezpieczeństwa w systemie
Awatar użytkownika
arturromarr
Beginner
Posty: 190
Rejestracja: 14 sierpnia 2015, 01:21

XZ Utils, atak na Linuxa

Post autor: arturromarr »

Słuchałem podcastu ICD Weekend #19 i jako użytkownika Debiana zaniepokoiła mnie informacja, od 34 minuty, dotycząca narzędzia do kompresji: XZ Utils.
https://www.internet-czas-dzialac.pl/weekend-19/
Czy możecie laikowi powiedzieć, czy jest się czymś martwić, czy trzeba coś zrobić, żeby zabezpieczyć system?
Podejrzałem, że pakiet mam zainstalowany.

Pozdrawiam.
Awatar użytkownika
LordRuthwen
Moderator
Posty: 2324
Rejestracja: 18 września 2009, 21:45
Lokalizacja: klikash?

Re: XZ Utils, atak na Linuxa

Post autor: LordRuthwen »

Tu masz to lepiej opisane:
https://www.ciemnastrona.com.pl/cyfrowy ... kdoor.html
XZ czyli liblzma występuje w zasadzie wszędzie i praktycznie wszędzie jest używane :)
Myślę, że nie masz się czym martwić o ile nie kompilowałeś tego ze źródeł sam z przedziału czasowego, w którym występował "problem".
Awatar użytkownika
arturromarr
Beginner
Posty: 190
Rejestracja: 14 sierpnia 2015, 01:21

Re: XZ Utils, atak na Linuxa

Post autor: arturromarr »

Dziękuję za informację.
Ja miałem zainstalowane: xz-utils 5.4.1-0.2
Z tekstu wynika, że problematyczne były tylko 5.6.0 i 5.6.1.
Czy to znaczy, że nie miałem złośliwego kodu?
Awatar użytkownika
LordRuthwen
Moderator
Posty: 2324
Rejestracja: 18 września 2009, 21:45
Lokalizacja: klikash?

Re: XZ Utils, atak na Linuxa

Post autor: LordRuthwen »

Tak. I w poprzednim komentarzu napisałem nieprawdę - jakbyś sam kompilował to byłbyś bezpieczny, bo wg innej analizy podatne były tylko wydania prekomplowane, czyli w paczkach.
ODPOWIEDZ