Eftersom detta inte verkar ha postats här än passar jag på att göra det. :) En bakdörr upptäcktes igår (29/3) i liblzma i paketet xz, en lib som länkas in i OpenSSH på många Linux-distributioner för integration med systemd.
https://www.openwall.com/lists/oss-security/2024/03/29/4
Detta ser ut att vara ett resultat av en infiltration av projektet där en skadlig aktör i princip låtsades hjälpa till att underhålla koden och i praktiken blev en co-maintainer av projektet. Som det verkar var detta en del av en plan som började sättas i verket redan 2021.
En bra genomgång:
https://boehs.org/node/everything-i-know-about-the-xz-backdoo...
En ytterligare sammanfattning:
https://lcamtuf.substack.com/p/technologist-vs-spy-the-xz-bac...
OBS: Ytterst få distributioner hann integrera denna nya version i sina paket innan detta upptäcktes så sannolikheten att folk har bakdörren på sina system är låg, men personerna bakom jobbade aktivt för att skynda på detta.
