В XZ (утилита сжатия данных на Unix) два года внедряли бэкдор, который бы позволял получить доступ к любой системе Fedora, Debian и Ubuntu
Хакер JiaT75 (Jia Tan) внедрился в сообщество разработчиков опенсорс пакета XZ, получил доверие главных разработчиков и получил полный доступ к репозиторию. А вычислил его инженер из Microsoft Andres Freund, заметивший, что sshd стали обрабатываться на пол секунды дольше.
Пересказ на английском и на русском языке.
Хакер просчитался... Но... Где?
Там же где и современные разрабы игр, забыл про оптимизацию.
В этом и есть плюс открытого кода.
Плюс что смог внедриться или в том что нашли ?
На самом деле эта уязвимость не задела практически дистрибутивы.
Вредоносный пакет нашли в Debian testing и unstable и в fedora rawhide, то есть в версиях дистрибутивов, находящихся в разработке
Комментарий недоступен
Они там пуллреквесты вообще не просматривают?