0x28 xz - You owe Freund a beer!
Segfault.fm: 0x28 xz - You owe Freund a beer!
1 Stunde 52 Minuten
Podcast
Podcaster
Segfault.fm ist ein wissenschaftsorientierter Podcast über IT-Sicherheit. Wir versuchen in diesem Podcast eine Brücke zwischen Praxis und Akademia zu schlagen.
Beschreibung
vor 3 Wochen
Beschreibung:
Summary durch AI generiert: In dieser Episode von Sackford FM
wird die Entdeckung einer potenziell schwerwiegenden Backdoor in
der XZ-Kompressionssoftware diskutiert. Der Microsoft-Ingenieur
Andres Freund identifizierte die Backdoor durch ungewöhnliche
CPU-Auslastung von OpenSSH. Es wird betont, dass solche
Sicherheitsprobleme in der Open-Source-Welt schnell angegangen
werden müssen, um Katastrophen zu verhindern. Technische Details
der Backdoor, wie ihre Aktivierung und Tarnung als Unit-Tests,
werden ausführlich behandelt. Die Diskussion endet mit
Überlegungen zu potenziellen Lösungsansätzen in der
Open-Source-Community, um von einzelnen Maintainern abhängige
Sicherheitsrisiken zu minimieren.
Shownotes:
Andres Freund initial e-mail
Timeline of the xz open source attack
The xz attack shell script
ArchLinux: The xz package has been backdoored
Some thoughs from Brian Krebs on xz
xz/liblzma: Bash-stage Obfuscation Explained
xz outbreak (jpg)
xz utils backdoor
FAQ on the xz-utils backdoor (CVE-2024-3094)
Small Interview of Andres Freund
xzbot
Reflections on distrusting xz
XZ Utils Backdoor - critical SSH vulnerability
(CVE-2024-3094)
The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind
Summary durch AI generiert: In dieser Episode von Sackford FM
wird die Entdeckung einer potenziell schwerwiegenden Backdoor in
der XZ-Kompressionssoftware diskutiert. Der Microsoft-Ingenieur
Andres Freund identifizierte die Backdoor durch ungewöhnliche
CPU-Auslastung von OpenSSH. Es wird betont, dass solche
Sicherheitsprobleme in der Open-Source-Welt schnell angegangen
werden müssen, um Katastrophen zu verhindern. Technische Details
der Backdoor, wie ihre Aktivierung und Tarnung als Unit-Tests,
werden ausführlich behandelt. Die Diskussion endet mit
Überlegungen zu potenziellen Lösungsansätzen in der
Open-Source-Community, um von einzelnen Maintainern abhängige
Sicherheitsrisiken zu minimieren.
Shownotes:
Andres Freund initial e-mail
Timeline of the xz open source attack
The xz attack shell script
ArchLinux: The xz package has been backdoored
Some thoughs from Brian Krebs on xz
xz/liblzma: Bash-stage Obfuscation Explained
xz outbreak (jpg)
xz utils backdoor
FAQ on the xz-utils backdoor (CVE-2024-3094)
Small Interview of Andres Freund
xzbot
Reflections on distrusting xz
XZ Utils Backdoor - critical SSH vulnerability
(CVE-2024-3094)
The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind
Weitere Episoden
2 Stunden 11 Minuten
vor 3 Monaten
2 Stunden 10 Minuten
vor 4 Monaten
2 Stunden 39 Minuten
vor 6 Monaten
2 Stunden 11 Minuten
vor 9 Monaten
2 Stunden 13 Minuten
vor 10 Monaten
Kommentare (0)