News Ubuntu 24.04 LTS ("Noble Numbat"): Schädlicher Code sorgt für schlechte Nachrichten

Grestorn schrieb:
Das was passiert ist zeigt klar einen Angriffs-Vektor, den Closed Software nicht hat. Bei Closed SW kann sich keine unbekannte Person einfach als Maintainer einschleichen.
Zum Vergrößern anklicken....
Nur dass heute kaum noch eine Software komplett selbst entwickelt wird. Wer weiß in welchen (geschlossenen) Projekten die XZ Utils oder Codeteile daraus verwendet werden. Es ist Public domain. Jeder kann den Code verwenden. Der Fehler wurde übrigens durch einen Mitarbeiter bei Microsoft entdeckt.
 
1xok schrieb:
Nur dass heute kaum noch eine Software komplett selbst entwickelt wird. Wer weiß in welchen (geschlossenen) Projekten die XZ Utils oder Codeteile daraus verwendet werden. Es ist Public domain. Jeder kann den Code verwenden. Der Fehler wurde übrigens durch einen Mitarbeiter bei Microsoft entdeckt.
Zum Vergrößern anklicken....
Da hast Du allerdings vollkommen recht.

Und das ist auch das Problem. Die Zahl der externen OSS Bibliotheken, die wir in unseren Projekten nutzen, ist Mind Blowing. Und genau da liegt das Problem. Ich fürchte, das wird uns allen mal ganz böse auf die Füße fallen.

ClosedSource Frameworks wie .net werden immer mehr aus dem Markt gedrängt. Auch die sind natürlich ein Single-Point of Attack, und damit ein Einfallstor, aber immer noch weniger einfach auszunutzen als eine der Myriaden OSS Bibliotheken.

Ist sag nur log4j.
 
Schnitzelnator schrieb:
In beiden Fällen ist es auf die gleiche Weise mit etwas Mühe und Geld möglich, durch V-Leute Lücken in den Code zu bekommen, aber nur bei Open Source Code ist die Wahrscheinlichkeit hoch, dass ein Unabhängiger sie schnell entdecken kann.

Edit: Und wenn jemand mit genug Personen die Lücken dort halten will, ist sogar die Unabhängigkeit eventuell die einzige Chance, dass die Lücken entdeckt werden können, weil vielleicht alle, die mit diesem Code betraut sind, die Lücken "übersehen" wollen...
Zum Vergrößern anklicken....

Und einmal die rosarote Brille absetzen. Zeigen Sie mir eine Firma, die einen anonymen Menschen einstellt und durch Mobbing, das von diesem Menschen ausgeht, auch noch sein Handeln belohnt und ihn in solch gehobenen Positionen besetzt.

Es wird auch schwer, als Gruppe zu agieren, wenn man alleine in der Firma anwesend ist.
 
Was ich traurig finde ist warum in dem Artikel nicht der genaue Hintergrund drinne steht … Ich kenne den und weiß auch wer den Fehler gefunden hat . Das wäre die eigentliche Story !
 
Grestorn schrieb:
Und das ist auch das Problem. Die Zahl der externen OSS Bibliotheken, die wir in unseren Projekten nutzen, ist Mind Blowing. Und genau da liegt das Problem. Ich fürchte, das wird uns allen mal ganz böse auf die Füße fallen.
Zum Vergrößern anklicken....
OK, wenn Du Open Source so verstehst, dass jemand für Produktivsysteme ohne jede Prüfung einfach fremden Code von Github nutzt, und hofft, dass er keine Lücken hat, weil er Open Source ist, dann ist zwar der Angriffsvektor noch immer der gleiche, aber dann stimme ich zu, dass eine Sicherheitsprüfung fehlt, die vermutlich andernfalls durch Firmen stattfindet. Aber wer das tut, dem kann denke ich, keiner helfen!

In der Wirtschaft setzt sicherlich kein erfolgreiches Unternehmen eine anonyme Hobby-Distribution XYZ ein, die irgendwer zusammengebastelt hat und "hofft", dass sie sicher ist. Wenn Du z.B. in der Cloud virtuelle Maschinen erstellst, die dann tatsächlich direkt und ohne VPN per SSH zugänglich sind und damit Geld verdienst, dann wählst Du als Unternehmen eine Profi-Distribution aus, z.B. SUSE Linux Enterprise oder Red Hat Enterprise Linux, etc. Und dann zahlst Du für Support (im Vergleich zu den Kosten für die reine Hardware einen geringen Aufpreis). Dass die Prüfungen, die die dahinterstehenden Distributoren durchführen, diese Lücke nicht erkannt hätten, bevor sie in die Produkte gekommen wäre, ist auch nur eine Vermutung, die wir sicherlich hier nicht beantworten können. ;)

Ich denke, dass hier das Missverständnis liegt. Open Source ist nicht gleichbedeutend mit gratis. Open Source is auch nicht gleichbedeutend mit Vertrauen. Open Source ist nicht einmal gleichbedeutend mit einer freien Lizenz für den Code (wobei die meisten Distributionen das natürlich erfordern und es für die Zusammenarbeit wünschenswert ist). Open Source an sich ermöglicht die unabhängige Code-Prüfung. Der Rest ist in der Praxis erst einmal genau gleich zu Closed Source Code und niemand wird davon entbunden, die entsprechenden Prüfungen durchzuführen oder durchführen zu lassen und ggf. zu bezahlen.

Für den Privatbereich (Gamingsysteme usw.) sehe ich das etwas anders. Da kann man hinter seiner Firewall etwas mehr wagen, da man seine Systeme ja nicht direkt ins Internet stellt (Edit: und ich den Schutz durch die unabhängige Prüfungsmöglichkeit auch höher einschätze als durch jede intransparente, unternehmensinterne Prüfung). Aber trotzdem schaut man da vermutlich, dass man sich nicht alles Mögliche auf den Rechner zieht, ohne dass dahinter zumindest eine handfeste Basis steht.
 
Zuletzt bearbeitet:
Grestorn schrieb:
Ist sag nur log4j.
Zum Vergrößern anklicken....
Java halte ich in dem Bezug für ein schlechtes Beispiel. Da ist Oracle durch die Sun Microsystems Akquirierung anno dazumal ganz dick drin und selbst Unternehmen wie Microsoft, IBM, Amazon und SAP werkeln da fleißig dran rum und bringen ihre eigenen JDK.
 
Zuletzt bearbeitet:
Schnitzelnator schrieb:
OK, wenn Du Open Source so verstehst, dass jemand für Produktivsysteme ohne jede Prüfung einfach fremden Code von Github nutzt, und hofft, dass er keine Lücken hat, weil er Open Source ist, dann ist zwar der Angriffsvektor noch immer der gleiche, aber dann stimme ich zu, dass eine Sicherheitsprüfung fehlt, die vermutlich andernfalls durch Firmen stattfindet. Aber wer das tut, dem kann denke ich, keiner helfen!
Zum Vergrößern anklicken....

Ich rede z.B. im Fall meines Arbeitgebers von Spring-Boot und Angular und den darum liegenden, unzähligen OSS Projekten.

Die werden von fast allen Java / Typescript basierten Projekten in vielen Firmen benutzt. Und keine Firma hat die Zeit und die Ressourcen, die Quellen auf Schadcode zu prüfen. Das ist auch illusorisch.

Natürlich hat Java und TypeScript naturgemäß weniger Möglichkeiten, Schaden anzurichten. Aber es gibt immer noch genügend Angriffe, speziell was das Abgreifen von Passwörtern und Zertifikaten angeht. Und die Log4j zeigt, was alles passieren kann.

Ich denke, Dir fehlt der Überblick, in welchem Umfang OSS Bibliotheken in der Softwareenticklung weltweit genutzt wird.
Poulton schrieb:
Java halte ich in dem Bezug für ein schlechtes Beispiel. Da ist Oracle durch die Sun Microsystems Akquirierung anno dazumal ganz dick drin und selbst Unternehmen wie Microsoft, IBM, Amazon und SAP werkeln da fleißig dran rum und bringen ihre eigenen JDK.
Zum Vergrößern anklicken....

Das hat aber nichts mit der log4j Lücke zu tun. Die funktioniert auf jeder JDK Distri. Das JDK selbnst ist auch nicht das Problem.

Und in der Typescript / Node Welt sieht es ganz genauso aus.
 
Grestorn schrieb:
Ich rede z.B. im Fall meines Arbeitgebers von Spring-Boot und Angular und den darum liegenden, unzähligen OSS Projekten.

Die werden von fast allen Java / Typescript basierten Projekten in vielen Firmen benutzt. Und keine Firma hat die Zeit und die Ressourcen, die Quellen auf Schadcode zu prüfen. Das ist auch illusorisch.
Zum Vergrößern anklicken....
Aber genau das erfordert beispielsweise ISO 27001. Tatsächlich scheinen hier in Europa noch entsprechende Vorgaben zu fehlen, aber ich persönlich sehe es so, dass wenn Du etwas geschäftlich einsetzt, das nicht von einem Akteur stammt, der nach Deiner eigenen Einschätzung vertrauenswürdig ist, Du dafür geradestehen musst, dass der Code keine Sicherheitslücken hat. Zumindest ein Dokument, in dem steht: "Es hat diesen Herausgeber und der ist vertrauenswürdig, weil... oder es wird von einer Einzelperson betreut und unser Audit für Version X.X.X hat ergeben..., oder eine klar definierte Prüfungs-Pipeline, die alle fremden Quellen durchlaufen müssen", sollte man meiner Meinung nach für jede Abhängigkeit haben, die man in ein Programm einbaut.

Selbst wenn das eventuell hierzulande noch nirgends so geschrieben steht, würde ich vermuten, dass Gerichte auch jetzt schon auf der Basis urteilen würden, wenn es um schriftliche Garantien geht.
 
Grestorn schrieb:
Ist sag nur log4j.
Zum Vergrößern anklicken....
Ich glaube, dass zu denken, dass viele erkannte Lücken Unsicherheit bedeuten, ein Fehler ist.
Grestorn schrieb:
Ich rede z.B. im Fall meines Arbeitgebers von Spring-Boot und Angular und den darum liegenden, unzähligen OSS Projekten.

Die werden von fast allen Java / Typescript basierten Projekten in vielen Firmen benutzt. Und keine Firma hat die Zeit und die Ressourcen, die Quellen auf Schadcode zu prüfen. Das ist auch illusorisch.
Zum Vergrößern anklicken....
Aber man könnte halt schon überlegen, ob man nicht Software nutzt, die zumindest weniger Abhängigkeiten hat und sich möglichst auf sehr weit verbreitete Software zu beschränken. Das erhöht einfach die Wahrscheinlichkeit, dass irgendjemandem, der sie nutzt, irgendwas auffällt. Ich war immer hinterher, dass nicht für jeden Kleinkram gleich wieder fünf neue Libaries plus Abhängigkeiten eingebunden werden.
 
Grestorn schrieb:
ClosedSource Frameworks wie .net werden immer mehr aus dem Markt gedrängt.
Zum Vergrößern anklicken....
Ich würde vermuten, dass die betroffene Bibliothek (liblzma) in sehr vielen properitären Projekten eingesetzt wird. Einfach wegen ihrer Lizenz, die das folgenlos zulässt. Das Format wird zum Beispiel auch von aktuellen Versionen der properitären Programme 7-Zip und WinRAR verwendet. Ob die das komplett neu implementiert haben oder einfach liblzma nutzen, weiß ich nicht. Aber typischerweise erfindet man das Rad nicht neu.

Für .NET gibt es Wrapper für die liblzma.dll. Properitär bedeutet halt nicht frei von quelloffener Software.
 
Zuletzt bearbeitet:
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Western Digital: Schlechte Preis-Nachrichten bei HDDs und SSDs
2
Antworten
33
Aufrufe
1K
mhmilo24
M
PCGH-Redaktion
News Stalker 2: Wieder schlechte Nachrichten zum Release
2 3
Antworten
57
Aufrufe
2K
KasenShlogga
K
PCGH-Redaktion
News "Gemütliche MMO-Gemeinschaftssimulation": Schlechte Nachrichten beim Palia-Entwickler
Antworten
4
Aufrufe
365
ako10000
A
PCGH-Redaktion
News Schlechte Nachrichten für Fans weißer Lüfter: Noctua setzt die Prioritäten anders
2 3
Antworten
41
Aufrufe
2K
TrueRomance
TrueRomance
PCGH-Redaktion
News Ab Switch 2: Bekannter Nintendo-Leaker mit schlechter Nachricht für Fans
2
Antworten
23
Aufrufe
1K
KremitTheFrag
K
Oben Unten
Zurück