Hmm wem wurde letztes Jahr der General Schlüssel seiner Cloud gestohlen?
Natürlich ist die xz Sache Besorgnis erregend, aber ich möchte gar nicht wissen wievielt kritische Bugs oder hintertüren in closed Software stecken
Ja aber das ist ein klassisches Strohmann Argument. Es geht hier nicht um Microsoft und Windows - das ist schlicht nicht relevant. Erklärt man im Grunde jedem Kind schon - wenn ein Kind von der Schule nach Hause kommt und eine schlechte Prüfung geschrieben hat und das Kind dann Argumentiert "Ja aber der Kevin war noch schlechter" - lernt man in der Regel das man sich nicht an den schlechteren orientieren soll.
Wenn es Open Source ist und jeder es einsehen kann und darf und 90% der Distributionen xz benutzen wo große Tiere dabei sind wie Red Hut und canonical und viele weitere und es über Millionen Menschen gibt in allen Distributionen die was programmieren ( wie kann es sein das sowas übersehen wird)
Aus diversen Gründen. Erstens war xz in der allgemeinem Auffasung kein kritisches Modul. Um auf die Idee zu kommen, dass man über ein kompromittiertes "xz-utils" ein SSH angreifen kann braucht schon sehr viel Kreativität.
Im Grunde ist "xz" ein OpenSource Zip. Das Dateien komprimieren und dekomprimieren kann - da denkt man nicht als erstes - ui das ist was voll kritisches.
Zweitens war der Backdoor extrem gut versteckt. Im Quellcode selbst war er nicht mal ersichtlich. Diese "Jia Tian" war wirklich ein sehr geschickter Entwickler und hat das Ding extrem extrem extrem gut versteckt. Das es gefunden wurde ist wirklich reiner "Zufall". Bzw auf die Hatnäckigkeit des Nerds der bei Microsoft arbeitet zu verdanken.
Ganz ehrlich wenn ich mit per SSH auf nen Rechner verbinde und das dauert ne halbe Sekunde länger als sonst denke ich einfach jo gibt wohl gerade Internet Troubles oder Server hat gerade hohe Last - zucke meine Schultern und denke nicht weiter darüber nach. Das sich hier jemand - an freien Ostern die Zeit nimmt Stück für Stück nachzuvollziehen warum SSH in seinem Debian SID plötzlich minimalst langsamer ist ist der wahnsinn.
das erst ein Mensch von Microsoft und zeigt wie unsicher es ist 
das sollte doch uns allen sorgen machen, das zeigt das niemand da draußen die Open Source Codes prüft und prüfen kann und ebenfalls Zeigt es wieder einmal wie unsicher Linux da stehen lässt 
Der Mensch der bei Microsoft arbeitet heisst "Andres Freud" und er ist in der OpenSource Community sehr bekannt. Er ist ein grossartiger Entwickler der schon zu vielen Projekten sehr viel Code beigetragen hat. Er arbeitet bei Microsoft auch in der OpenSource Abteilung.
Das ist hier nicht die Frage. Ich habe schon so oft gehört, dass einer der Vorteile von Linux der überprüfbare Code und damit das schnelle auffinden von Fehlern wäre. Mir fehlt hier die Kompetenz das richtig einordnen zu können. Aber man sollte auf keinen Fall das ganze Bagatellisieren.
Richtig das sollte man auf keinen Fall. Und man sollte ehrlich zu einander sein. Und ehrlich ist - Das Linux Ökosystem hat wie viele andere OpenSource Projekte ein grosses Problem.
Sehr viele kritische Infrastruktur wie z.b. die "xz-utils" oder wie z.b. wie im Dezember 2021 die grosse "log4j" Lücke, 2017 die "Apche Struts" Lücke (daten von 143 Millionen Menschen wurde deswegen exponiert), Heartbleed SSL war 2014 udn dürfte wohl das schwerwiegendste sein was wir bisher hatten, Ebenfalls 2014 "Shellshock Bash" eine massive Lücke in "bash" wo Milliarden von Computern weltweit betroffen waren, usw
Wir haben hier ein Problem und das Problem hat bei all diesen grossen bekannten Lücken den selben Namen. Überlastete, unterfinanzierte freiwillige Entwickler.
Oft ist es so das evtl. im Studium irgendein Entwickler ein Hobby Projekt startet, plötzlich wird sein Tool das er da entwickelt hat Teil eine grossen kritischen Infrastruktur. Die Anbieter nehmen das Tool einfach (dürfen sie lizenztechnisch ja auch) und binden es in ihre Software ein.
Und hier kommt das Problem. Die Entwickler dieser Tools werden für ihre Arbeit in der Regel nicht bezahlt. Es ist reine Freiteit Arbeit die man dann neben seiner Erwerbsarbeit, Familie, Freunde, etc noch machen "muss".
Auch hier bei "xz-utils", dass dieser "Jia Tan" das Projekt "übernehmen" konnte hat genau damit zu tun. Der xz-utils Entwickler und Erfinder war im Stress - sein Leben war gerade super anstrengend und er hatte kaum Zeit für diese Bibliothek. Feature Request, etc kommen dennoch fleissig rein. Da hat sich "Jia Tan" angeboten und quasi gesagt "hej ich sehe du bist gerade in einem super stress, lass mich dir helfen". Und die ersten 2 Jahre hat dieser "Jia Tan" auch einwnadfreie Arbeit geliefert - er hat das Projekt in der Zeit super seriös betreut.
Wir als Linux Community - und wir die Firmen die Linux kommerziell einsetzen müssen uns Wege überlegen das Software wie z.b. "xz-utils" das in JEDER einzelnen DISTRIBUTION auf diesem Planeten IMMER per Default installiert ist - anders zu fördern.
Hätte der gestresste Hauptentwickler, einen sicheren Jobs gehabt wäre er z.b. bei der Linux Foundation, oder Apache Foundation fix angestellt gewesen (für die Arbeit an xz) hätte er viel weniger Stress aus Geldsorgen, etc gehabt und dieser "Jia Tan" hätte nie die Möglichkeit gehabt den Einfluss auf das Projekt zu gewinnen.
Und hier ist die Problematik sowohl wir als Community, wie auch die grossen Distributionen nutzen völlig selbstverständlich Programme, die absolut essentiell sind. Ohne xz bootet ein normales Linux nicht - das in der Regel der "initramfs" damit komprimiert ist. Das wird ausgeliefert ohne zu hinterfragen wie man langfristig sicherstellen kann - dass die so eine Biliothek langfristig vernüntig gepflegt wird - und von solchen Biblotheken haben wir hunderte in unseren Systemen.
Das ist ein Linux-Problem und das ist ein OpenSource Problem. Und nur zu sagen "Microsoft hat auch Probleme" löst dieses Linux- und OpenSource Problem nicht. Und ist schlicht nicht konstruktiv.
