Treceți offline cu aplicația Player FM !
0x28 xz - You owe Freund a beer!
Manage episode 410968170 series 2582136
Summary durch AI generiert: In dieser Episode von Sackford FM wird die Entdeckung einer potenziell schwerwiegenden Backdoor in der XZ-Kompressionssoftware diskutiert. Der Microsoft-Ingenieur Andres Freund identifizierte die Backdoor durch ungewöhnliche CPU-Auslastung von OpenSSH. Es wird betont, dass solche Sicherheitsprobleme in der Open-Source-Welt schnell angegangen werden müssen, um Katastrophen zu verhindern. Technische Details der Backdoor, wie ihre Aktivierung und Tarnung als Unit-Tests, werden ausführlich behandelt. Die Diskussion endet mit Überlegungen zu potenziellen Lösungsansätzen in der Open-Source-Community, um von einzelnen Maintainern abhängige Sicherheitsrisiken zu minimieren.
Shownotes:- Andres Freund initial e-mail
- Timeline of the xz open source attack
- The xz attack shell script
- ArchLinux: The xz package has been backdoored
- Some thoughs from Brian Krebs on xz
- xz/liblzma: Bash-stage Obfuscation Explained
- xz outbreak (jpg)
- xz utils backdoor
- FAQ on the xz-utils backdoor (CVE-2024-3094)
- Small Interview of Andres Freund
- xzbot
- Reflections on distrusting xz
- XZ Utils Backdoor - critical SSH vulnerability (CVE-2024-3094)
- The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind
Capitole
1. Intro (00:00:00)
2. Begrüßung (00:00:55)
3. Breaking News (00:03:06)
4. Wie entdeckt? (00:12:50)
5. Was ist xz? (00:20:30)
6. Was kann die backdoor? (00:25:45)
7. Timeline - wie kam sie rein? (00:37:00)
8. Wer ist Jia Tan? (01:27:25)
9. Wer ist Jia Tan? (01:27:25)
10. Diskussion (01:32:20)
11. Auflösung (01:47:37)
12. Verabschiedung (01:50:03)
13. Outro (01:51:00)
43 episoade
Manage episode 410968170 series 2582136
Summary durch AI generiert: In dieser Episode von Sackford FM wird die Entdeckung einer potenziell schwerwiegenden Backdoor in der XZ-Kompressionssoftware diskutiert. Der Microsoft-Ingenieur Andres Freund identifizierte die Backdoor durch ungewöhnliche CPU-Auslastung von OpenSSH. Es wird betont, dass solche Sicherheitsprobleme in der Open-Source-Welt schnell angegangen werden müssen, um Katastrophen zu verhindern. Technische Details der Backdoor, wie ihre Aktivierung und Tarnung als Unit-Tests, werden ausführlich behandelt. Die Diskussion endet mit Überlegungen zu potenziellen Lösungsansätzen in der Open-Source-Community, um von einzelnen Maintainern abhängige Sicherheitsrisiken zu minimieren.
Shownotes:- Andres Freund initial e-mail
- Timeline of the xz open source attack
- The xz attack shell script
- ArchLinux: The xz package has been backdoored
- Some thoughs from Brian Krebs on xz
- xz/liblzma: Bash-stage Obfuscation Explained
- xz outbreak (jpg)
- xz utils backdoor
- FAQ on the xz-utils backdoor (CVE-2024-3094)
- Small Interview of Andres Freund
- xzbot
- Reflections on distrusting xz
- XZ Utils Backdoor - critical SSH vulnerability (CVE-2024-3094)
- The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind
Capitole
1. Intro (00:00:00)
2. Begrüßung (00:00:55)
3. Breaking News (00:03:06)
4. Wie entdeckt? (00:12:50)
5. Was ist xz? (00:20:30)
6. Was kann die backdoor? (00:25:45)
7. Timeline - wie kam sie rein? (00:37:00)
8. Wer ist Jia Tan? (01:27:25)
9. Wer ist Jia Tan? (01:27:25)
10. Diskussion (01:32:20)
11. Auflösung (01:47:37)
12. Verabschiedung (01:50:03)
13. Outro (01:51:00)
43 episoade
Toate episoadele
×Bun venit la Player FM!
Player FM scanează web-ul pentru podcast-uri de înaltă calitate pentru a vă putea bucura acum. Este cea mai bună aplicație pentru podcast și funcționează pe Android, iPhone și pe web. Înscrieți-vă pentru a sincroniza abonamentele pe toate dispozitivele.