EdwinOdesseiron schrieb:
Bei diesen Meldung fällt mir immer wieder auf warum es doch Sinn macht bei wichtigen System stabile Distros wie SUSE (OpenSuse LEAP) oder Debian zu nutzen.
Ja, ich habe unsere Maschinen mit Debian 11 (oldstable), Debian 12 (stable) und Ubuntu 22.04 geprueft, und da sind nur aeltere Versionen von xz drauf.
Aber wenn alle so arbeiten, dann werden diese Probleme erst entdeckt, wenn sie alle haben. In diesem Fall hatten wir das Glueck, dass Andres Freund Debian sid (unstable, eine rolling release, immer mit recht neuen Paketen) benutzt: Er war betroffen, ihm ist was aufgefallen, und er hat das Backdoor entdeckt.
Was die Frage nach Open Source angeht: Einerseits ist das Andres Freund nicht durch Inspektion des source codes aufgefallen, sondern weil das System auf einmal mehr Zeit gebraucht hat. Andererseits, wenn er nicht das Source Package gehabt haette, haette er dieses Problem vielleicht nicht soweit analysiert, bis er das Backdoor gefunden haette.
Der Autor des Backdoors hat, soweit ich das gelesen habe, den Quellcode, der normalerweise fuer reviews herangezogen wird, vermieden wie der Teufel das Weihwasser: Er hat Teile des Backdoors in einer Binaerdatei versteckt, und andere Teile in ein Build-Script integriert, das er aber nur ueber den Tarball verteilt hat und nicht in das git-Repo eingespielt hat, wo es eher aufgefallen waere. Er scheint also wohl daran zu glauben, dass es bei Open Source einfacher ist, sowas zu entdecken.
Die andere Sache ist, wie Vertrauen in den Autor von Code hergestellt wird. Das ist nicht direkt eine Frage von Open Source, obwohl es damit korreliert. Im konkreten Fall bestand das Vertrauen, weil Jia Tan schon zwei Jahre lang Beitraege geleistet hat. Da gibt es Leute, die meinen, dass es mehr Aufwand ist, sich erfolgreich bei Microsoft zu bewerben (
@Multivac in #98), und dann in seiner Funktion dort sowas einzuschleusen, und daher sei der Code, der von dort kommt, vertrauenswuerdiger. Aber es gibt keinen Grund, nicht beides zu haben: Nur Code zu verwenden, der Open Source ist
und von jemandem in einer grossen Firma geschrieben, reviewed und released wurde.
Viel Code im Linux-System wird ohnehin von Leuten in grossen Firmen wie Red Hat, Intel, usw. geschrieben, die muessten halt dann so Leute wie Lasse Collin (Hauptautor von xz) einstellen und ihm eben jemanden zur Seite stellen, der die Arbeit mittraegt, sodass pull requests und releases besser reviewed werden.
Andererseits ist natuerlich die Frage, ob es wirklich so viel mehr Aufwand ist, sich bei einer grossen Firma zu bewerben, und ob das Backdoor wirklich vom urspruenglichen Jia Tan kam, oder nur von jemandem, der seinen Account uebernommen hat. Wenn man sich ueberlegt, was z.B.
Nick Leeson anrichten konnte (oder in juengerer Zeit Renee Benko), stellt sich die Frage, ob man jemandem wirklich vertrauen kann, nur weil ihm eine grosse Firma vertraut.
