Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/la-backdoor-di-zx-utils-ecco-come-un-volontario-ha-scongiurato-una-catastrofe-informatica_125839.html

Una vulnerabilità presente in uno strumento di compressione per Linux è stata scoperta quasi per caso da un singolo sviluppatore e neutralizzata per tempo: gli esiti sarebbero stati simili a quanto accaduto con Log4shell

Click sul link per visualizzare la notizia.

Ecco perché Bruce Perens ha proposto recentemente di far pagare una commissione a tutte le realtà multimilionarie che utilizzano (spesso "sfruttano") software opensource gratuitamente...

https://imgs.xkcd.com/comics/dependency.png
(Fonte XKCD (https://xkcd.com/license.html))

vicenda decisamente inquietante, per fortuna a lieto fine e che conferma quanto di buono ci sia nel software open.
Adesso mi chiedo: ci sarà una denuncia per questa "entità" (persona o gruppo che sia) autore del codice malevolo?

Ecco perché Bruce Perens ha proposto recentemente di far pagare una commissione a tutte le realtà multimilionarie che utilizzano (spesso "sfruttano") software opensource gratuitamente...

https://imgs.xkcd.com/comics/dependency.png
(Fonte XKCD (https://xkcd.com/license.html))

Quindi una LGPL con limiti di fatturato...

Quindi una LGPL con limiti di fatturato...
Non me ne intendo tanto di licenze...

Dovrebbe essere: tu, azienda multimilionaria, paghi una commissione in percentuale ai ricavi, e in compenso puoi usare tutti i software con licenza Post-Open (così la chiama) che vuoi.
La commissione viene poi suddivisa tra gli sviluppatori dei software utilizzati.

https://www.thestack.technology/open-source-pioneer-perens-says-time-for-post-open/

vicenda decisamente inquietante, per fortuna a lieto fine e che conferma quanto di buono ci sia nel software open.
Adesso mi chiedo: ci sarà una denuncia per questa "entità" (persona o gruppo che sia) autore del codice malevolo?

Sì, ma non è un comune tentativo di hacking fatto da un pivello, sicuramente dietro a quell'account c'è qualche gruppo bello grosso, quasi sicuramente info stealer.

Da come ho letto, erano compromessi solo i binari, infatti non capivo perchè gentoo non facesse il downgrade

Da come ho letto, erano compromessi solo i binari, infatti non capivo perchè gentoo non facesse il downgrade
No, non nei binari. Nei tarball dei sorgenti.
Il problema è che molti utilizzatori, invece di scaricare i sorgenti direttamente dal Git, si scaricano i tarball già impacchettati...

No, non nei binari. Nei tarball dei sorgenti.
Il problema è che molti utilizzatori, invece di scaricare i sorgenti direttamente dal Git, si scaricano i tarball già impacchettati...

grazie per il chiarimento ;)

Non me ne intendo tanto di licenze...

Dovrebbe essere: tu, azienda multimilionaria, paghi una commissione in percentuale ai ricavi, e in compenso puoi usare tutti i software con licenza Post-Open (così la chiama) che vuoi.
La commissione viene poi suddivisa tra gli sviluppatori dei software utilizzati.

https://www.thestack.technology/open-source-pioneer-perens-says-time-for-post-open/

Allora, la differenza sostanziale tra GPL e LGPL è che su GPL tu sei obbligato a rilasciare sempre l'interno codice sorgente del tuo software anche se hai utilizzato 1 sola riga di codice protetta da GPL (che sia a pagamento o meno). Mentra la LGPL ti dice che tu puoi usare il codice protetto da LGPL all'interno (o esterno, come libreria) del tuo software senza nessun problema e se qualcuno volesse i tuoi codici sorgenti tu sei obbligato a lasciarli solamente la parte coperta da LGPL e non tutto il tuo pezzettone di software.

Inoltre, nessuna delle due licenze vieta agli sviluppatori di vendere il software e il relativo codice sorgente, ma consente ai propri acquirenti il lusso di regalare e/o pubblicare il codice protetto da GPL o LGPL.

Pertanto, quello che vuoi fare tu è una LGPL senza eccezzione del dynamic linking, ma se hai un fatturato più alto di 2.000.000€, paghi a prescinedere un tot di €

edit: NB che entrambe le licenze non consentono NESSUNA MODIFICA alla parte del codice protetto dalle due licenze, pertanto se prendi un pezzo di codice di un software con licenza gpl o lgpl e ci inserisci un carattere sei obbligato a rilasciarlo.

Allora, la differenza sostanziale tra GPL e LGPL è che su GPL tu sei obbligato a rilasciare sempre l'interno codice sorgente del tuo software anche se hai utilizzato 1 sola riga di codice protetta da GPL (che sia a pagamento o meno). Mentra la LGPL ti dice che tu puoi usare il codice protetto da LGPL all'interno (o esterno, come libreria) del tuo software senza nessun problema e se qualcuno volesse i tuoi codici sorgenti tu sei obbligato a lasciarli solamente la parte coperta da LGPL e non tutto il tuo pezzettone di software.

Inoltre, nessuna delle due licenze vieta agli sviluppatori di vendere il software e il relativo codice sorgente, ma consente ai propri acquirenti il lusso di regalare e/o pubblicare il codice protetto da GPL o LGPL.

Probabilmente, se la cosa dovesse andare in porto, nascerebbero comunque delle sotto-licenze con le stesse differenze, quindi questa Post-Open non andrebbe paragonata strettamente ad una LGPL, ma ad un suo sovrainsieme...

Pertanto, quello che vuoi fare tu è una LGPL senza eccezzione del dynamic linking, ma se hai un fatturato più alto di 2.000.000€, paghi a prescinedere un tot di €

No, non io...:D

Ne esiste già una bozza
https://perens.com/2024/03/08/post-open-license-first-draft/

Da come ho letto, erano compromessi solo i binari, infatti non capivo perchè gentoo non facesse il downgrade

Erano sempre i sorgenti ma compressi in un archivio tar.gz. A volte è più pratico renderli disponibili come tali oltre a rendere disponibile i sorgenti attraverso git.

Ecco perché Bruce Perens ha proposto recentemente di far pagare una commissione a tutte le realtà multimilionarie che utilizzano (spesso "sfruttano") software opensource gratuitamente...

https://imgs.xkcd.com/comics/dependency.png
(Fonte XKCD (https://xkcd.com/license.html))

Fixed :asd:

https://i.imgur.com/s81er7T.jpeg

Freund è un manutentore volontario del sistema di gestione database PostgreSQL. La sua scoperta prende il via dopo aver osservato comportamenti non consueti durante l'esecuzione di alcuni test su Linux: in particolare con un anomalo carico della CPU nel corso degli accessi crittografati a liblzma, parte della libreria di compressione xz.

E' un po' più convoluto: Freund ha notato un rallentamento dell'avvio di una connessione ssh (da 0.2 a 0.8 sec se ricordo bene), ed un picco di consumo di CPU.

La sua analisi ha rivelato poi, che il server SSH appoggiandosi ad una libreria di systemd, a sua volta richiamava la libreria liblzma, che andava a rimappare (in particolari circostanze) la funzione RSA_public_decrypt di openssl.

Quello che fa impressione, oltre al social engineering e alla pazienza (un lavoro durato 3 anni) usati, sono a tutte le tecniche impiegate per offuscare l'exploit.

Le "in particolari circostanze" condizioni, sono condizioni che complicano enormemente l'analisi di questo tipo di exploit: non deve essere settata la variabile di ambiente TERM p.e; l'exploit è un RCE (remote code execution), ed il comando deve essere cifrato correttamente altrimenti l'exploit si disattiva; di fatto questo impedisce una scansione di internet alla ricerca di questa backdoor.

Il commento più bello è il seguente:

Incredible work from Andres [Freund]. The attackers made a serious strategic mistake: they made PostgreSQL slightly slower.

— Thomas Munro

Ironico: complimenti a chi ha scritto l'articolo, in particolare il titolo :sofico:

Anch'io il 30 marzo ho ricevuto l'alert:

«Post : About backdoor security alert for xz»

Comunque non essendo interessato al problema ho solo conservato l'email per future riflessioni.

Sì, ma non è un comune tentativo di hacking fatto da un pivello, sicuramente dietro a quell'account c'è qualche gruppo bello grosso, quasi sicuramente info stealer.

Infatti, soprattutto per i tempi lunghi la cosa puzza molto di gruppo sponsorizzato da qualche governo.

E se così fosse non mi sorprenderei se lo stesso modus operandi fosse stato adottato per altri pacchetti, ovviamente con altre identità....