ubuntuusers.de

Yabba-Dabba-Doo schrieb:

Dort sollte aber das geeignete Personal werkeln, das mit der Situation umgehen kann. Wenn nicht, dann haben die Betreiber an den falschen Stellen gespart.

Dazu müssen sie aber erstmal wissen, dass sie handeln müssen, man hat Originaldateien von Original Servern heruntergeladen, die geändert wurden, um Fehler zu beseitigen und die ganz tolle Zusatz Funktionen mitbringen (so die Story) wer achtet da schon auf eine halbe Sekunde. Es war schlicht Zufall, das dies jemandem aufgefallen ist, der die Fähigkeit besessen hat dies aufzudecken.

Die Hintertür soll wohl auch nur in den von "Jia Tan" gepackten Sourcecode-Tarbollen gewesen sein, nicht aber im GIT selbst, so das auschecken aus dem GIT die Hintertür nicht gehabt haben sollte.

• https://www.openwall.com/lists/oss-security/2024/03/29/4

That line is *not* in the upstream source of build-to-host, nor is build-to-host used by xz in git. However, it is present in the tarballs released upstream, except for the "source code" links, which I think github generates directly from the repository contents:

Und auch dort wird nochmals darauf aufmerksam gemacht:

• https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

The release tarballs upstream publishes don't have the same code that GitHub has.

Wer direkt aus dem GIT baut wäre damit fein raus.

Während die großen Linux Distributoren eher dazu neigen, die gepackten Sourcecode-Tarbollen zu nutzen, in dem Fall dann durch "Jia Tan", wer oder was sich auch immer hinter "Jia Tan" verbergen mag.

Wenn man dies als Weckruf verstehen würde und daraus Konsequenzen ziehen würde, wäre allen geholfen. Man ist nicht mehr in den 1990ern, wo man sich im Studentenheim die Disketten mit dem Programmcode über den Flur reicht, so wird aber leider immer noch gearbeitet.

Heise hat in einem heute veröffentlichten Artikel die Problematik noch einmal zusammen gefasst.

Dazu hat sich der Autor Golo Roden darüber Gedanken gemacht, wie es überhaupt zu dem Szenario kommen konnte.

https://www.heise.de/blog/Aktenzeichen-XZ-ungeloest-9678531.html

... Es ist zutiefst bedauerlich, dass jemand, der Gutes bewirken wollte, von anderen ausgenutzt wird, mit der erkennbaren Absicht, enormen Schaden anrichten zu wollen. ...

Quelle: siehe Link aus vorherigem Post von Dimanche

Ein Schaden ist definitiv entstanden ... die Gesellschaft/Open-Source Gemeinschaft, ist wieder ein Stück misstrauischer und paranoider geworden. Schade eigentlich.

Danke für den Link von Heise

Das für mich Wesentliche steht ab dem Absatz: "Welche Konsequenzen können wir ziehen?"

Da muss sich jeder an die eigene Nase fassen, ich nehme mich dabei nicht aus.

Open Source ist zwar free, aber nicht "for free" gute Arbeit soll auch gut bezahlt werden. Open Source hat der Welt viel Gutes gegeben, es ist an der Zeit den Leuten, die dafür zuständig sind, auch die Mittel und Möglichkeiten zu geben diese Gute Arbeit weiter zu machen.

Wie könnte man ein solches Bezahlsystem aufbauen, was mir so vorschwebt, ist ein Art Gutscheinsystem wie die Geschenkkarten, die man im Supermarkt oder an der Tankstelle vorfindet. Wenn man ein wenig Kleingeld übrig hat, kauft man sich eine solche Karte, rubbelt den Bezahlcode frei und gibt ihn ein, dadurch wird der Betrag auf dem Konto des Empfängers gutgeschrieben. Es können aber auch andere Bezahlsysteme wie PayPal etc. verwendet werden, je mehr, umso besser.

Bleibt noch die Frage, wohin man das Geld überweisen soll, hier würde mir die "Open Source Initiative" einfallen, aber vielleicht haben andere dort andere Vorstellungen.

Nur eins ist sicher, ohne Geld geht es nicht.

Open Source Initiative https://opensource.org/

Diesen Talk fand ich recht interessant: → Enterprise Linux Security Episode 86 - The 'xz' Fiasco (Youtube ca. 51 Minuten)

Darin heißt es das systemd nur 2 Tage vor Veröffentlichung der kompromittierten Version einen Commit akzeptiert hat der die gesamte Arbeit an der Hintertür zunichte gemacht hätte wenn noch abgewartet worden wäre. Also wurde eine nicht optimierte Version rausgerusht und dann der Backdoor mit Glück entdeckt.

Ist die XZ-Geschichte wirklich ein Fiasko, oder nicht doch etwa eine Komödie? Also ich kann durchaus den humoristischen Aspekt der XZ-Geschichte sehen, so viel Arbeit und perfide Hinterhältigkeit und Lebensjahre beim einschleichen mit einem mal für die Katz. 😀 Wer auch immer hinter "Jia Tan" stecken mag, kräftig ärgern und einsehen, wie sinnlos das alles war.

Ist dies schon Wahnsinn, so hat es doch Methode. William Shakespeare

Was zu befürchten war, hat sich wohl bestätigt, dass man die gleiche Masche an verschiedenen Stellen versucht hat, wie erfolgreich man da war, ist noch nicht bekannt. Das lässt schlimmes befürchten.

xz-Attacke: Hinweise auf ähnliche Angriffsversuche bei drei JavaScript-Projekten

"Jia Tan" hat Druck auf den xz-Maintainer aufgebaut, um eine Hintertür einzuschmuggeln. Es gibt Hinweise, dass bei anderen Projekten ähnliches versucht wurde.

17.04.2024, 07:25 Uhr Von Martin Holland

Der ausgeklügelte und nur mit viel Glück abgewendete Angriff auf die xz-Tools ist "wahrscheinlich kein Einzelfall". Es gibt Hinweise auf ähnliche Angriffe auf insgesamt drei JavaScript-Projekte. Das haben die Open Source Security Foundation und die OpenJS Foundation publik gemacht, die von einer Serie von ähnlichen E-Mails und verdächtigen Accounts auf GitHub sprechen. Um welche Projekte es sich handelt, teilen die beiden Organisationen nicht mit. Sie appellieren an die Verantwortlichen für Open-Source-Projekte, auf Attacken mittels Social Engineering vorbereitet zu sein, Frühwarnzeichen zu erkennen und Schritte zur Absicherung ihrer Projekte zu übernehmen.

https://www.heise.de/news/xz-Attacke-Hinweise-auf-aehnliche-Angriffsversuche-bei-drei-JavaScript-Projekten-9687246.html