Brutta serata ragazzi! Per chi usa la versione 40 beta forse ha un ladro in casa e non lo sa!
Ho difficoltà a capire cosa stia succedendo non essendo un “addetto ai lavori”.
Ho downgradato il pacchetto ma essendo attualmente sul posto di lavoro non posso operare un formattone di sicurezza e sto sudando freddo 
Ho ricevuto proprio ora la notifica del comunicato diffuso tramite Fedora Magazine
Comunque, almeno per quanto mi riguarda, non ho alcuna ragione di preoccuparmi… mai usato versioni beta.
Da quel che sono riuscito a capire pare che la f40 sia in qualche modo fortunata per non aver abilitato un certo (IFUNC) in glibc e non avendo mai avuto la versione infetta di xz alla 5.6.1 che risolveva questo intoppo (quindi il comunicato di RH è corretto). In ogni caso non appena smonto cambio tutte le credenziali. Per ora non ho ricevuto notifiche di tentativi di accesso ai miei servizi (conservavo i dati sensibili su keepassxc che dovrebbe essere sicuro). Incrocio le dita.
1 Mi Piace
La cosa più interessante dell’intera vicenda è che colui che ha creato quella backdoor era diventato il gestore dell’intero pacchetto! Aveva imbrogliato tutti!
1 Mi Piace
Mi domando se non ci sia un collegamento con la guerra. Dato che Russia e Cina hanno abbandonato windows e tutto ciò che di americano c’era in favore di linux (almeno cosi mi pareva di aver capito).
Bisognerebbe chiederlo allo sviluppatore che ha inserito il codice della backdoor su xz.
Comunque ieri mi è capitato di vedere un video girare su diversi social dove si parla dell’accaduto e si critica fortemente systemd, RedHat (rea di aver introdotto systemd e aver spinto le altre distro ad adottarlo) e si afferma che il pacchetto fosse già pronto per il rilascio su tutte le principali distribuzioni.
Boh… personalmente ho avuto come l’impressione che ci sia stata qualche imprecisione, forse dovuta anche al clamore della notizia.
Sarà, ma quanti di voi si ricordano di una famosa falla di sicurezza nel kernel di Linux nata semplicemente da un ; lasciato inavvertitamente nel codice oppure quando le sessioni X-Window permettevano l’accesso anche da root?
Questo caso è singolare però… cioé, non è una comune falla dovuta ad un errore, una svista o una dimenticanza che, per carità, sarebbe meglio se non capitano, ma può anche starci.
Lo sviluppatore è riuscito a guadagnarsi la fiducia del manteiner ufficiale che non riusciva più a star dietro al progetto e dopo cinque anni che lavorava al progetto è riuscito a far aggiungere il suo commit al codice e a convincere la maggior parte dei team delle principali distro ad aggiungere il pacchetto nei repo.
Per fortuna, a parte le distro arch-based e poche altre rolling, le altre lo hanno aggiunto solo sui repository di testing e sulle beta… sta di fatto che nessuno (ad eccezione dello sviluppatore di MS che se ne è accorto) si è preso la briga di controllare il codice.
Questo è vero! Quanti si ricordano che il duo K&R dimostrò che se uno voleva poteva inserire una falla di sicurezza nel codice prodotto da un compilatore?
Ammesso che esista uno sviluppatore inteso come persona fisica (ne dubito). Qui c’è puzza di “grandi manovre”.
Riguardo a quanto scrivi, JackDaniels, l’abbandono da parte della Russia e della Cina di M$ Windows precede e di molto la guerra Russia/Ucraina, meglio Russia/NATO, di almeno cinque anni. Una nota: il governo russo per motivi di sicurezza ha ordinato anni fà le vecchie macchine da scrivere per ovvi motivi di sicurezza: niente network, niente memorie di massa!
Hai capito i russi! Da noi basterebbe spostare una icona sul desktop (di windows) per procurare un disservizio 
@JackDaniels stando a quanto riportato su questo articolo, la tua teoria potrebbe anche essere corretta… sembra infatti che potrebbe essere plausibile che si nascondesse un intero gruppo dietro lo pseudonimo utilizzato.
Infatti bastava buttare l’icona “Risorse di sistema” nel “Cestino” che l’intero sistema implodeva!
Hanno sfondato una porta aperta. Quante librerie mantenute in maniera simile abbiamo sotto al cofano? Questi ci riproveranno. IMHO un’altra porta aperta è flatpak. Esclusi i soliti noti software come firefox il rischio di beccarsi uno sviluppatore velenoso è altissimo. NB snapstore. Ogni tanto sfoglio flathub e vedo spuntare nuovi programmi come funghi e mi chiedo quale tra loro sia un’amanita falloide XD.
Come scriveva un utente nei commenti “bisognerebbe fare la pulci al codice” come fa Torvalds con il kernel.
E beccarsi le sue famose parolacce se qualcuno o qualcosa non gli piace…