ZerosquareLe 30/03/2024 à 01:26
En effet.
Il y a des commentaires intéressants sur Hacker News, par exemple celui-ci. Plusieurs d'entre eux mentionnent des éléments que laissent penser que c'est une opération qui était planifiée à long terme : il y a eu plusieurs actions de l'un des mainteneurs sur ces dernières années qui, rétrospectivement, avaient vraisemblablement pour but de rendre possible/faciliter l'attaque, ou de rendre plus difficile sa détection. Certains pensent même qu'il n'existe pas, et que ce n'est qu'une identité fictive créée exprès pour compromettre le projet.
Je n'envie pas ceux qui vont devoir désormais vérifier s'il n'y a pas d'autres backdoors similaires planquées ailleurs
EDIT : des résumés mis à jour régulièrement ici :
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
Il y a des commentaires intéressants sur Hacker News, par exemple celui-ci. Plusieurs d'entre eux mentionnent des éléments que laissent penser que c'est une opération qui était planifiée à long terme : il y a eu plusieurs actions de l'un des mainteneurs sur ces dernières années qui, rétrospectivement, avaient vraisemblablement pour but de rendre possible/faciliter l'attaque, ou de rendre plus difficile sa détection. Certains pensent même qu'il n'existe pas, et que ce n'est qu'une identité fictive créée exprès pour compromettre le projet.
Je n'envie pas ceux qui vont devoir désormais vérifier s'il n'y a pas d'autres backdoors similaires planquées ailleurs
EDIT : des résumés mis à jour régulièrement ici :
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
xz-utils backdoor situationGistxz-utils backdoor situation. GitHub Gist: instantly share code, notes, and snippets.