Ende März '24 wurde zufällig eine Backdoor in der verbreiteten Open Source - Bibliothek xz-utils entdeckt, die unter anderem im ssh-Server moderner Linux-Distributionen verwendet wird. Diese Sicherheitslücke wurde in einem mehrjährigen Prozess vorbereitet und eingebaut. Es wurden dazu sowohl menschliche Schwäche, als auch grundlegende organisatorische und technische Probleme in der Zusammenarbeit rund um Open Source Entwicklung ausgenutzt.
Dieser Vortrag wird über die mehrjährige Vorbereitung und Implementierung der Schwachstelle berichten, aber auch einige offene Fragen und mögliche Konsequenzen beleuchten.
Warum baut das Internet auf Bibliotheken auf, die einzelne Maintainer in ihrer Freizeit basteln? Besteht ein grundlegendes Sicherheitsproblem in der Nutzung von Open Source Software? Könnte KI die Lösung sein?
slides:
https://gitlab.com/cy4n/talk-backdoorxz_pub/-/blob/main/xz_gpn.pdf