Come probablilmente già sai, xz è stato compromesso. Per i non addetti ai lavori xz è una libreria per la compressione dei dati molto utilizzata sopratutto su Linux.

Il pacchetto è stato usato come entrypoint per l’injection di codice malevolo in sshd, modificandone il flusso di autenticazione. Sembrerebbe che ci sia una code execution direttamente tramite i parametri della chiave.

Questa vulnerabilità, introdotta deliberatamente attraverso una backdoor, è conosciuta come CVE-2024-3094.

Lavorando nel campo, ho visto molte organizzazioni investire una quantita’ significativa di tempo e risorse (che si traduce in persone e soldi), in misure che garantiscono poca se non zero, reale sicurezza.

Tanto tempo che non ci si vede, eh? Sono successe tante cose dall’ultimo post nel 2018 sul vecchio blog.