#DockerHub still hosts dozens of #Linux images with the #XZ #backdoor

https://www.bleepingcomputer.com/news/security/docker-hub-still-hosts-dozens-of-linux-images-with-the-xz-backdoor/

#cybersecurity #FOSS #Docker #XZUtils

New #blog post: Unix Data Compression Shootout

https://rldane.space/unix-data-compression-shootout.html

881 words

cc: my wonderful #chorus: @joel @dm @sotolf @thedoctor @pixx @twizzay @orbitalmartian @adamsdesk @krafter @roguefoam @clayton @giantspacesquid

(I will happily add/remove you from the chorus upon request! :)

#100DaysToOffload #32

#rlDaneWriting #Unix #Linux #BSD #DataCompression #gzip #bzip #bzip2 #bzip3 #zstd #zst #xz #lz4 #compression

Me tiene loco que la backdoor en la DLL #liblzma de #xzutils la descubriera un pavo porque al conectarse por SSH la conexión tardaba un cuarto de segundo más de lo habitual. I mean, quién se fija y se da cuenta de algo así, y cómo lo relaciona con una vulnerabilidad en #xz. Es de locos, me sigue dejando perplejo.

Parece bastante claro que el autor es alguna agencia de inteligencia por la planificación, el nivel y los recursos. Cuentas falsas contribuyendo con código en Github durante años y ganándose reputación como contributors y la confianza del creador de XZ, y con un grado de conocimiento técnico a bajo nivel al alcance de pocos. Una verdadera operación encubierta sostenida en el tiempo, con una duración de años, para instalar una puerta trasera en equipos a nivel planetario.

Viendo las características poco creíbles de la cuenta falsa principal, aparentemente china, yo me decanto por los servicios secretos rusos o estadounidenses, pero es mera especulación.

#ciberseguridad

#xz

Alt...

an old September 2021 tweet from Druthers Haver @6thgrade4ever. Text reads: the most consequential figures in the tech world are half guys like steve jobs and bill gates and halfsome guy named ronald who maintains aunix tool called 'runk' which stands for Ronald's Universal Number Kounter and handles all math for every machine on earth