![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
waqurНовостной бэкграунд для тех, кто не в теме:
https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://gynvael.coldwind.pl/?lang=en&id=782
https://www.opennet.ru/opennews/art.shtml?num=60877
Мои соображения: типичный код, связанный с m4/autotools выглядит в целом так же, как этот обфусцированный троянец, предоставляя этому и другим подобным троянцам обширный ландшафт для камуфлирования. В том-то вся и проблема. Ребята, юзайте Meson, или CMake, а не это древнее говно мамонта. Эту стюардессу давно пора закопать! Любой код или конфигурация, как-то связанный с утилитами autohell, выглядел как говно мамонта даже в начале двухтысячных годов, на фоне тогдашних SCons и Perforce Jam (не говоря уже о современных инструментах сборки), и я — ни тогда, ни сейчас — просто не мог(у) понять, как вменяемые (на первый взгляд) люди находят в себе силы копошиться в этом навозе. В итоге так и вышло, что мейнтейнеры многих дистрибутивов проморгали троянца при review.
Пару десятилетий назад, с нечитаемостью языка M4 и несопровождаемостью обширных правил, на нём написанных, была та же проблема в Sendmail (разумеется, повлёкшая многочисленные уязвимости), пока ту стюардессу успешно не закопал Postfix.
UPD. Также этот кейз демонстрирует полезность подхода defense-in-depth, в частности оборачивания ssh-трафика в spiped-туннели.
UPD2. Autodafe — утилита для избавления вашего проекта от autotools, авторства Eric S. Raymond.
https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://gynvael.coldwind.pl/?lang=en&id=782
https://www.opennet.ru/opennews/art.shtml?num=60877
Мои соображения: типичный код, связанный с m4/autotools выглядит в целом так же, как этот обфусцированный троянец, предоставляя этому и другим подобным троянцам обширный ландшафт для камуфлирования. В том-то вся и проблема. Ребята, юзайте Meson, или CMake, а не это древнее говно мамонта. Эту стюардессу давно пора закопать! Любой код или конфигурация, как-то связанный с утилитами autohell, выглядел как говно мамонта даже в начале двухтысячных годов, на фоне тогдашних SCons и Perforce Jam (не говоря уже о современных инструментах сборки), и я — ни тогда, ни сейчас — просто не мог(у) понять, как вменяемые (на первый взгляд) люди находят в себе силы копошиться в этом навозе. В итоге так и вышло, что мейнтейнеры многих дистрибутивов проморгали троянца при review.
Пару десятилетий назад, с нечитаемостью языка M4 и несопровождаемостью обширных правил, на нём написанных, была та же проблема в Sendmail (разумеется, повлёкшая многочисленные уязвимости), пока ту стюардессу успешно не закопал Postfix.
UPD. Также этот кейз демонстрирует полезность подхода defense-in-depth, в частности оборачивания ssh-трафика в spiped-туннели.
UPD2. Autodafe — утилита для избавления вашего проекта от autotools, авторства Eric S. Raymond.
