• Shimitar@feddit.it
    link
    fedilink
    arrow-up
    4
    arrow-down
    1
    ·
    9 months ago

    La falla in realtà è stata scoperta abbastanza presto e solo Arch linux e parzialmente Gentoo sono impattati.

    In ogni caso tocca solo i sistemi con SystemD quindi stock gentoo non è vulnerabile. Non so Arch.

    Il vero punto piuttosto è riflettere sulla debolezza della sicurezza sul rilascio di software a tutti i livelli. La falla infatti non è nel repisitory di XZ ma viene iniettata nel tar rilasciato su github per colpa di un contribitor compromesso (o malevolo).

    Curioso anche come la falla utilizzi parte di codice committato, ma inattivo, che viene attivato solo dal tarball che, appunto, è stato compromesso. On pratica clonare il repo è sicuro, fidarsi del TAR su github, no.

    • droliver@feddit.it
      link
      fedilink
      arrow-up
      2
      ·
      9 months ago

      La falla ahimé è stata scoperta in anticipo per un’enorme botta di fortuna, da un ricercatore che stava studiando un problema in nessun modo legato alla sicurezza di OpenSSH. Siamo stati molto fortunati e andranno fatti sicuramente molti ragionamenti su come ci si potrà difendere da attacchi di questo tipo.

      “Clonare è sicuro” non è assolutamente detto, parte del payload era nel tar solo perché solitamente meno controllato rispetto al repo, ma è solo stata un’accortezza aggiuntiva degli attaccanti che potrebbero tranquillamente non metterla in pratica. Detto questo dipende tutto da cosa fa il mantainer che usa la dipendenza e da come la integra nella sua codebase.