Parin päivän sisällä Fediverse on kuhissut XZ-takaportista. Ei niin tekniset ihmiset saattavat miettiä, että mistä ihmeestä on kysymys.
Yksinkertaistettuna XZ Utils on avoimen lähdekoodin työkalu, jolla voi pakata tiedostoja häviöttömästi. Siihen liittyy myös ohjelmointikirjasto, jota muut sovellukset voivat käyttää. Työkalu kuuluu moneen Linux-jakeluun. Lisksi salatun etäyhteyden mahdollistava sshd käyttää ohjelmointikirjastoja, jotka puolestaan ovat riippuvaisia XZ:sta. Näin sshd on epäsuorasti riippuvainen XZ:sta.
XZ on ollut käytännössä yhden ihmisen ylläpitämä työkalu. Tekijällä oli vähänlaisesti aikaa ja henkistä kapasiteettia sen ylläpitämiseen, joten avuksi tuli toinen taho. Tämä lisäapu päätyi olemaan pahantekijä, joka ujutti koodiin takaportin, jonka tarkoituksena on rikkoa sshd:n salaus.
Tapaus on nostanut mitä kummallisimpia kannanottoja. Jotkut povaavat kuolemaa avoimen lähdekoodin projekteille, toiset huutavat niille lisää rahaa ja osa maalailee aivan käsittämättömiä kauhuskenaarioita. Joukossa on onneksi paljon järkevääkin keskustelua siitä, kuinka avoimen lähdekoodin projekteihin pitäisi suhtautua, kuinka niitä pitäisi pyörittää ja käyttää sekä miten vastaava tapahtuma voitaisiin estää jatkossa.
Tämän hetken tietojen mukaan XZ:ssä oleva takaportti ei ole merkittävässä määrin päässyt leviämään oikeisiin ympäristöihin, mutta vielä ei ole varmuutta siitä, mitä kaikkea "avulias" pahantekijä on ehtinyt koodiin ujuttaa.
Saaste /
npub1yq…ll2jw
2024-03-31 10:40:06
Author Public Key
npub1yq7tnylzex2qtr086rvf903zeg2c3ef2f0phhff2nuwef67nqacsyll2jwPublished at
2024-03-31 10:40:06Event JSON
{
"id": "5f645ada03b4f81b16d382431107b37b2cc44ccba6cf6650dc8dbbd12663ec26",
"pubkey": "203cb993e2c994058de7d0d892be22ca1588e52a4bc37ba52a9f1d94ebd30771",
"created_at": 1711874406,
"kind": 1,
"tags": [
[
"proxy",
"https://mementomori.social/users/saaste/statuses/112189401104741367",
"activitypub"
],
[
"L",
"pink.momostr"
],
[
"l",
"pink.momostr.activitypub:https://mementomori.social/users/saaste/statuses/112189401104741367",
"pink.momostr"
]
],
"content": "Parin päivän sisällä Fediverse on kuhissut XZ-takaportista. Ei niin tekniset ihmiset saattavat miettiä, että mistä ihmeestä on kysymys.\n\nYksinkertaistettuna XZ Utils on avoimen lähdekoodin työkalu, jolla voi pakata tiedostoja häviöttömästi. Siihen liittyy myös ohjelmointikirjasto, jota muut sovellukset voivat käyttää. Työkalu kuuluu moneen Linux-jakeluun. Lisksi salatun etäyhteyden mahdollistava sshd käyttää ohjelmointikirjastoja, jotka puolestaan ovat riippuvaisia XZ:sta. Näin sshd on epäsuorasti riippuvainen XZ:sta.\n\nXZ on ollut käytännössä yhden ihmisen ylläpitämä työkalu. Tekijällä oli vähänlaisesti aikaa ja henkistä kapasiteettia sen ylläpitämiseen, joten avuksi tuli toinen taho. Tämä lisäapu päätyi olemaan pahantekijä, joka ujutti koodiin takaportin, jonka tarkoituksena on rikkoa sshd:n salaus.\n\nTapaus on nostanut mitä kummallisimpia kannanottoja. Jotkut povaavat kuolemaa avoimen lähdekoodin projekteille, toiset huutavat niille lisää rahaa ja osa maalailee aivan käsittämättömiä kauhuskenaarioita. Joukossa on onneksi paljon järkevääkin keskustelua siitä, kuinka avoimen lähdekoodin projekteihin pitäisi suhtautua, kuinka niitä pitäisi pyörittää ja käyttää sekä miten vastaava tapahtuma voitaisiin estää jatkossa.\n\nTämän hetken tietojen mukaan XZ:ssä oleva takaportti ei ole merkittävässä määrin päässyt leviämään oikeisiin ympäristöihin, mutta vielä ei ole varmuutta siitä, mitä kaikkea \"avulias\" pahantekijä on ehtinyt koodiin ujuttaa.",
"sig": "1556b3bf14bf5c887bfffafb0a881e6c87da2583e5ca77b795149a65774a705a1873b417cd133720f745c76218620c96705c8c07bd45f169bf483ddfc509c25d"
}