XZ ಹಿಂಬಾಗಿಲಿನ ಆವಿಷ್ಕಾರವು Linux ಪೂರೈಕೆ ಸರಣಿ ದಾಳಿಯನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ | Duda News

ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳಿಗಾಗಿ ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುವ ಕಂಪ್ರೆಷನ್ ಲೈಬ್ರರಿಯಲ್ಲಿ ಹಿಂಬಾಗಿಲನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು, ಅದು ಅನಧಿಕೃತ ಬಳಕೆದಾರರಿಗೆ ಸೋಂಕಿತ ಸಿಸ್ಟಮ್‌ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನೀಡುತ್ತದೆ.

ಮಾರ್ಚ್ 29 ರಂದು, ಮೈಕ್ರೋಸಾಫ್ಟ್‌ನ PostgreSQL ಡೆವಲಪರ್ ಆಂಡ್ರೆಸ್ ಫ್ರೆಂಡ್ ಅವರು XZ ಗಾಗಿ ತೆರೆದ ಮೂಲ ಲಿಬ್ಜ್ಮಾ ಪ್ಯಾಕೇಜ್‌ನಲ್ಲಿ ಮರೆಮಾಡಲಾಗಿರುವ ಹಿಂಬಾಗಿಲನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ ಎಂದು ಬಹಿರಂಗಪಡಿಸಿದರು, ಇದು ಅನೇಕ ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳಲ್ಲಿ ಬಳಸಲಾಗುವ ಜನಪ್ರಿಯ ಸಂಕೋಚನ ಗ್ರಂಥಾಲಯವಾಗಿದೆ. ಓಪನ್ ಸೋರ್ಸ್ ಸೆಕ್ಯುರಿಟಿ ಮೇಲಿಂಗ್ ಪಟ್ಟಿಯಲ್ಲಿನ ಬಹಿರಂಗಪಡಿಸುವಿಕೆಯಲ್ಲಿ, ಫ್ರೆಂಡ್ ಅವರು ಇತ್ತೀಚಿನ ವಾರಗಳಲ್ಲಿ ಡೆಬಿಯನ್‌ನಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಲಿಬೆಲ್ಜ್ಮಾದಲ್ಲಿ ವಿಚಿತ್ರವಾದ ನಡವಳಿಕೆಯನ್ನು ಗಮನಿಸಿದರು, ಉದಾಹರಣೆಗೆ ssh ಮೂಲಕ ನಿಧಾನವಾದ ಲಾಗಿನ್‌ಗಳು ಮತ್ತು sshd ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ಆಶ್ಚರ್ಯಕರವಾಗಿ ಹೆಚ್ಚಿನ CPU ಬಳಕೆಯು. ಹೆಚ್ಚಿನ ತನಿಖೆಯ ನಂತರ, ಪೂರೈಕೆ ಸರಪಳಿ ದಾಳಿಯಲ್ಲಿ ಅಪ್‌ಸ್ಟ್ರೀಮ್ XZ ರೆಪೊಸಿಟರಿಯು ರಾಜಿಯಾಗಿದೆ ಎಂದು ಅವರು ತೀರ್ಮಾನಿಸಿದರು.

ಫ್ರೆಂಡ್ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಪತ್ತೆಹಚ್ಚಿದರು ಮತ್ತು ಹಿಂಬಾಗಿಲು ತೆರೆದ ಮೂಲ ಯೋಜನೆಗೆ XZ ನಿರ್ವಾಹಕರಿಂದ ಕಾನೂನುಬದ್ಧವಾಗಿ ಕಾಣುವ ನವೀಕರಣದ ಮೂಲಕ ಬದ್ಧವಾಗಿದೆ ಎಂದು ಕಂಡುಹಿಡಿದರು, ನಂತರ ಇದನ್ನು ಜಿಯಾ ಟಾನ್ ಎಂದು ಗುರುತಿಸಲಾಯಿತು. “ಹಲವಾರು ವಾರಗಳ ಚಟುವಟಿಕೆಯನ್ನು ಗಮನಿಸಿದರೆ, ಕಮಿಟರ್ ನೇರವಾಗಿ ತೊಡಗಿಸಿಕೊಂಡಿದ್ದಾನೆ ಅಥವಾ ಅವರ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಕೆಲವು ಗಂಭೀರ ರಾಜಿ ಮಾಡಿಕೊಂಡಿದ್ದಾನೆ” ಎಂದು ಅವರು ಬರೆದಿದ್ದಾರೆ. ಒಡ್ಡುವಿಕೆ, “ದುರದೃಷ್ಟವಶಾತ್, ಎರಡನೆಯದು ಕಡಿಮೆ ಸಂಭವನೀಯ ವಿವರಣೆಯಂತೆ ಕಾಣುತ್ತದೆ, ಏಕೆಂದರೆ ಅವರು ಮೇಲೆ ತಿಳಿಸಲಾದ ‘ಸುಧಾರಣೆಗಳ’ ಕುರಿತು ವಿವಿಧ ಪಟ್ಟಿಗಳಲ್ಲಿ ಸಂವಹನ ಮಾಡಿದ್ದಾರೆ.”

ನಲ್ಲಿ ಇರುವ ಹಿಂಬಾಗಿಲನ್ನು ಫ್ರೆಂಡ್ ಸಹ ಕಂಡುಹಿಡಿದರು. Git ವಿತರಣೆಯಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಇರಲಿಲ್ಲ.

10 ರ CVSS ಸ್ಕೋರ್‌ನೊಂದಿಗೆ CVE-2024-3094 ಎಂದು ಟ್ರ್ಯಾಕ್ ಮಾಡಲಾದ ಬ್ಯಾಕ್‌ಡೋರ್ ಎರಡು ಹಂತಗಳಲ್ಲಿದೆ ಎಂದು Red Hat ಶುಕ್ರವಾರದ ಭದ್ರತಾ ಸಲಹೆಯಲ್ಲಿ ಗಮನಿಸಿದೆ. “Git ವಿತರಣೆಯು M4 ಮ್ಯಾಕ್ರೋವನ್ನು ಹೊಂದಿಲ್ಲ, ಅದು ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ರಚನೆಯನ್ನು ಪ್ರಚೋದಿಸುತ್ತದೆ” ಎಂದು ಸಲಹೆಗಾರ ಹೇಳಿದರು. “ಒಂದು ವೇಳೆ ದುರುದ್ದೇಶಪೂರಿತ M4 ಮ್ಯಾಕ್ರೋ ಇದ್ದರೆ, ಎರಡನೇ ಹಂತದ ಕಲಾಕೃತಿಗಳು ನಿರ್ಮಾಣ ಸಮಯದಲ್ಲಿ ಇಂಜೆಕ್ಷನ್‌ಗಾಗಿ Git ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಇರುತ್ತವೆ. ಬಿಲ್ಡ್‌ನಲ್ಲಿ ವಿಲೀನಗೊಳ್ಳದೆ, ಎರಡನೇ ಹಂತದ ಫೈಲ್ ನಿರುಪದ್ರವವಾಗಿರುತ್ತದೆ.”

ಒಂದು ಒಳಗೆ ಬ್ಲಾಗ್ ಪೋಸ್ಟ್ ಶುಕ್ರವಾರ, ಟೆನೆಬಲ್ ಸಂಶೋಧಕರು ಹಿಂಬಾಗಿಲು ಫೆಡೋರಾ ರಾಹೈಡ್ ಮತ್ತು ಫೆಡೋರಾ 41 ಸೇರಿದಂತೆ ಬಹು ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಿದ್ದಾರೆ ಎಂದು ಹೇಳಿದರು. ಇದು ಡೆಬೆನ್ ಪರೀಕ್ಷೆ ಮತ್ತು ಅಸ್ಥಿರ ಮತ್ತು ಪ್ರಾಯೋಗಿಕ ವಿತರಣಾ ಆವೃತ್ತಿಗಳು 5.5.1alpha-0.1 ರಿಂದ 5.6.1-1 ಕ್ಕೂ ಸಹ ಪರಿಣಾಮ ಬೀರಿತು.

ಇತರ ಪೀಡಿತ ವಿತರಣೆಗಳಲ್ಲಿ openSUSE Tumbleweed ಮತ್ತು openSUSE MicroOSM ಸೇರಿವೆ, ಇವುಗಳನ್ನು ಮಾರ್ಚ್ 7 ಮತ್ತು ಮಾರ್ಚ್ 28 ರ ನಡುವೆ ಹಿಂಬಾಗಿಲಿತ್ತು; ಮಾರ್ಚ್ 26 ಮತ್ತು ಮಾರ್ಚ್ 28 ರ ನಡುವೆ ಬ್ಯಾಕ್‌ಡೋರ್ ಆಗಿದ್ದ ಕಾಲಿ ಲಿನಕ್ಸ್; ಮತ್ತು ಆರ್ಚ್ ಲಿನಕ್ಸ್ ಸ್ಥಾಪನೆ ಮಾಧ್ಯಮ 2024.03.01, ಹಾಗೆಯೇ ವರ್ಚುವಲ್ ಮೆಷಿನ್ ಚಿತ್ರಗಳು 20240301.218094 ಮತ್ತು 20240315.221711 ಮತ್ತು ಫೆಬ್ರವರಿ 24 ಮತ್ತು ಮಾರ್ಚ್ 28 ರ ನಡುವೆ ರಚಿಸಲಾದ ಕಂಟೇನರ್ ಚಿತ್ರಗಳು.

ದುರುದ್ದೇಶಪೂರಿತ XZ ಆವೃತ್ತಿಗಳೊಂದಿಗೆ ಎಷ್ಟು ಸಂಸ್ಥೆಗಳು ವಿತರಣೆಗಳನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಿದೆ ಅಥವಾ ಆ ಸಂಸ್ಥೆಗಳಲ್ಲಿ ಯಾವುದಾದರೂ ಹಿಂಬಾಗಿಲಿನ ಮೂಲಕ ಉಲ್ಲಂಘಿಸಲಾಗಿದೆಯೇ ಎಂಬುದು ಅಸ್ಪಷ್ಟವಾಗಿದೆ.

CISA ಬಿಡುಗಡೆ ಮಾಡಿದೆ ಎಚ್ಚರಿಕೆ ಶುಕ್ರವಾರದ Red Hat ನ ಸಲಹೆಯನ್ನು ಹೈಲೈಟ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಲಿನಕ್ಸ್ ಡೆವಲಪರ್‌ಗಳು ಮತ್ತು ಬಳಕೆದಾರರಿಗೆ XZ ಯುಟಿಲಿಟೀಸ್‌ನ ಬಾಧಿತವಲ್ಲದ ಆವೃತ್ತಿಗಳಾದ ಆವೃತ್ತಿ 5.4.6 ಸ್ಥಿರತೆಯನ್ನು ಡೌನ್‌ಗ್ರೇಡ್ ಮಾಡಲು ಮತ್ತು ಅವರ ಪರಿಸರದಲ್ಲಿ ಯಾವುದೇ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯನ್ನು ಹುಡುಕಲು ಒತ್ತಾಯಿಸಲಾಯಿತು.

Red Hat Enterprise, SUSE Linux Enterprise ಮತ್ತು Leap, Amazon Linux, ಮತ್ತು Ubuntu ಸೇರಿದಂತೆ ಇತರ ಜನಪ್ರಿಯ ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳು ಹಿಂಬಾಗಿಲಿನೊಂದಿಗೆ ರಾಜಿ ಮಾಡಿಕೊಂಡಿಲ್ಲ.

“ಅದೃಷ್ಟವಶಾತ್ xz 5.6.0 ಮತ್ತು 5.6.1 ಇನ್ನೂ ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳಿಂದ ವ್ಯಾಪಕವಾಗಿ ಸಂಯೋಜಿಸಲ್ಪಟ್ಟಿಲ್ಲ, ಮತ್ತು ಅವುಗಳು ಎಲ್ಲಿವೆ, ಹೆಚ್ಚಾಗಿ ಬಿಡುಗಡೆಯ ಪೂರ್ವ ಆವೃತ್ತಿಗಳಲ್ಲಿ,” ಫ್ರೆಂಡ್ ಬರೆದರು.

ದಾಳಿ ಟೈಮ್‌ಲೈನ್

ಬಹು ಸೈಬರ್ ಸೆಕ್ಯುರಿಟಿ ಮಾರಾಟಗಾರರು ಮತ್ತು ಬೆದರಿಕೆ ವಿಶ್ಲೇಷಕರ ಪ್ರಕಾರ, ಹಿಂಬಾಗಿಲನ್ನು ವಿಸ್ತಾರವಾದ, ಬಹು-ವರ್ಷದ ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್ ದಾಳಿಯ ಮೂಲಕ ರಚಿಸಲಾಗಿದೆ. ಕೇಂದ್ರದಲ್ಲಿ GitHub ಬಳಕೆದಾರ JiaT75, ಇದನ್ನು ಜಿಯಾ ಟಾನ್ ಎಂದೂ ಕರೆಯುತ್ತಾರೆ. ಈ ಡೆವಲಪರ್ ಎರಡು ವರ್ಷಗಳಲ್ಲಿ XZ ಲೈಬ್ರರಿಗೆ ಕೊಡುಗೆ ನೀಡಿದರು, ಅಭಿವೃದ್ಧಿ ಸಮುದಾಯದೊಳಗೆ ನಂಬಿಕೆಯನ್ನು ನಿರ್ಮಿಸಿದರು ಮತ್ತು ಅಂತಿಮವಾಗಿ XZ ರೆಪೊಸಿಟರಿಯನ್ನು ನಿರ್ವಹಿಸಲು ಮತ್ತು ಕಮಿಟ್‌ಗಳನ್ನು ವಿಲೀನಗೊಳಿಸಲು ಸವಲತ್ತುಗಳನ್ನು ಪಡೆದರು.

ಎ ಪ್ರಕಾರ ಈ ಸಮಯ ಪ್ರೋಗ್ರಾಮರ್ ಇವಾನ್ ಬೋಹ್ಸ್ ರಚಿಸಿದ, ಟ್ಯಾನ್ ನವೆಂಬರ್ 2021 ರಲ್ಲಿ ತನ್ನ ಗಿಟ್‌ಹಬ್ ಖಾತೆಯನ್ನು ರಚಿಸಿದನು ಮತ್ತು ಲಿಬ್ರೆಚೈವ್‌ನಲ್ಲಿ ಪುಲ್ ವಿನಂತಿಯನ್ನು ರಚಿಸಿದನು ಅದು ದೋಷ ಪಠ್ಯ ಬದಲಾವಣೆಯ ನೆಪದಲ್ಲಿ ಕಡಿಮೆ ಸುರಕ್ಷಿತ ಆವೃತ್ತಿಯೊಂದಿಗೆ ಕೋಡ್‌ನ ತುಣುಕನ್ನು ಬದಲಾಯಿಸಿತು. ಏಪ್ರಿಲ್ 2022 ರಲ್ಲಿ, ಜಿಯಾ ಟ್ಯಾನ್ ಅವರು ಮೇಲಿಂಗ್ ಪಟ್ಟಿಯ ಮೂಲಕ XZ ಗೆ ಪ್ಯಾಚ್ ಅನ್ನು ಸಲ್ಲಿಸಿದರು ಮತ್ತು ಇನ್ನೊಬ್ಬ ಬಳಕೆದಾರ “ಜಿಗರ್ ಕುಮಾರ್” – ಬಹುಶಃ ಅಲಿಯಾಸ್ ಅಥವಾ ಸಹ-ಪಿತೂರಿಗಾರ – ಪ್ಯಾಚ್ ಅನ್ನು ವಿಲೀನಗೊಳಿಸಲು ನಿರ್ವಹಣೆ ಮಾಡುವವರ ಮೇಲೆ ಒತ್ತಡ ಹೇರಿದರು.

ಜಿಗರ್ ಕುಮಾರ್ ನಂತರ XZ ಯೋಜನೆಯ ನಿರ್ವಾಹಕರನ್ನು ಸ್ವತಂತ್ರವಾಗಿ ಬದ್ಧರಾಗಲು ಇನ್ನೊಬ್ಬ ನಿರ್ವಾಹಕರನ್ನು ಸೇರಿಸಲು ಒತ್ತಡ ಹೇರಿದರು. ಈ ಹಂತದಲ್ಲಿ ಟ್ಯಾನ್ ಯೋಜನೆಗೆ ನಿಯಮಿತ ಕೊಡುಗೆಗಳನ್ನು ನೀಡಲು ಪ್ರಾರಂಭಿಸಿದರು ಮತ್ತು ಜನವರಿ 2023 ರ ಹೊತ್ತಿಗೆ ತನ್ನ ಸ್ವಂತ ಕೋಡ್ ಅನ್ನು ವಿಲೀನಗೊಳಿಸಲು ಸಾಕಷ್ಟು ವಿಶ್ವಾಸವನ್ನು ಗಳಿಸಿದರು. ನಂತರ, ತಿಂಗಳ ಅವಧಿಯಲ್ಲಿ ಮತ್ತು 2024 ರ ಆರಂಭದಲ್ಲಿ, ಟ್ಯಾನ್ ಯೋಜನೆಯಲ್ಲಿ ತನ್ನದೇ ಆದ ಪ್ರಭಾವವನ್ನು ಹೆಚ್ಚಿಸಲು ಕ್ರಮ ಕೈಗೊಂಡರು. ಮತ್ತು ಹಿಂಬಾಗಿಲಿಗೆ ಮೂಲಸೌಕರ್ಯಗಳನ್ನು ನಿರ್ಮಿಸಿ.

ಹಿಂಬಾಗಿಲನ್ನು ಮಾರ್ಚ್‌ನಲ್ಲಿ ಕಂಡುಹಿಡಿಯುವ ಮೊದಲು ಈ ವರ್ಷದ ಆರಂಭದಲ್ಲಿ ಅಂತಿಮವಾಗಿ ಅಂತಿಮಗೊಳಿಸಲಾಯಿತು.

CVE ನಿಯೋಜಿಸಲಾಗಿದೆ

XZ ಹಿಂಬಾಗಿಲಿಗೆ CVE ಅನ್ನು ನಿಯೋಜಿಸಲಾಗಿದೆ ಮತ್ತು NIST ರಾಷ್ಟ್ರೀಯ ದುರ್ಬಲತೆಯ ಡೇಟಾಬೇಸ್‌ನಲ್ಲಿ ಪಟ್ಟಿಮಾಡಲಾಗಿದೆ, ಇದು ಮಾಲ್‌ವೇರ್‌ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ.

“ಸಂಕೀರ್ಣ ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್‌ಗಳ ಸರಣಿಯ ಮೂಲಕ, ಲಿಬ್ಜ್ಮಾ ಬಿಲ್ಡ್ ಪ್ರಕ್ರಿಯೆಯು ಲಿಬ್ಜ್ಮಾ ಕೋಡ್‌ನಲ್ಲಿ ನಿರ್ದಿಷ್ಟ ಕಾರ್ಯಗಳನ್ನು ಮಾರ್ಪಡಿಸಲು ಬಳಸಲಾಗುವ ಮೂಲ ಕೋಡ್‌ನಲ್ಲಿರುವ ಗುಪ್ತ ಪರೀಕ್ಷಾ ಫೈಲ್‌ನಿಂದ ಪೂರ್ವಸಂಯೋಜಿತ ವಸ್ತು ಫೈಲ್ ಅನ್ನು ಹೊರತೆಗೆಯುತ್ತದೆ.” NIST ಪಟ್ಟಿ ಓದುವುದು. “ಇದು ಮಾರ್ಪಡಿಸಿದ liblzma ಲೈಬ್ರರಿಗೆ ಕಾರಣವಾಗುತ್ತದೆ, ಈ ಲೈಬ್ರರಿಯೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುವ ಡೇಟಾವನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ಮತ್ತು ಮಾರ್ಪಡಿಸಲು ಈ ಲೈಬ್ರರಿಗೆ ಲಿಂಕ್ ಮಾಡಲಾದ ಯಾವುದೇ ಸಾಫ್ಟ್‌ವೇರ್ ಬಳಸಬಹುದಾಗಿದೆ.”

ಇದು ಇನ್ನೂ ಸಂಶೋಧಿಸಲ್ಪಡುವ ಒಂದು ಸಂಕೀರ್ಣ ವಿದ್ಯಮಾನವಾಗಿದ್ದರೂ, ಬಗ್‌ಕ್ರೌಡ್‌ನ ಭದ್ರತಾ ಕಾರ್ಯಾಚರಣೆಗಳ ಉಪಾಧ್ಯಕ್ಷ ಮತ್ತು ಹ್ಯಾಕರ್ ಯಶಸ್ಸಿನ ಮೈಕೆಲ್ ಸ್ಕೆಲ್ಟನ್ ಅವರು CVE ಯ ನಿಯೋಜನೆಯನ್ನು ಪೂರ್ವಭಾವಿ ಮತ್ತು ಮುನ್ನೆಚ್ಚರಿಕೆಯ ವಿಧಾನವೆಂದು ಉಲ್ಲೇಖಿಸಿದ್ದಾರೆ.

“ಸಿವಿಇಗಳನ್ನು ಮಾಲ್‌ವೇರ್ ಅಥವಾ ಹಿಂಬಾಗಿಲುಗಳಿಗೆ ನಿಯೋಜಿಸಲಾಗಿಲ್ಲ, ಆದರೆ ಅಂತಹ ದುರುದ್ದೇಶಪೂರಿತ ಘಟಕಗಳು ಬಳಸಿಕೊಳ್ಳಬಹುದಾದ ದುರ್ಬಲತೆಗಳಿಗೆ ನಿಗದಿಪಡಿಸಲಾಗಿದೆ ಎಂದು ಸ್ಪಷ್ಟಪಡಿಸುವುದು ಮುಖ್ಯವಾಗಿದೆ” ಎಂದು ಸ್ಕೆಲ್ಟನ್ ಟೆಕ್ ಟಾರ್ಗೆಟ್ ಸಂಪಾದಕೀಯಕ್ಕೆ ತಿಳಿಸಿದರು. “ಶಂಕಿತ ಆದರೆ ಸಾಬೀತಾಗದ ದುರ್ಬಲತೆಗೆ CVE ಅನ್ನು ನಿಯೋಜಿಸುವ ಮೂಲಕ, ಸಮುದಾಯವು ಶೋಷಣೆಯ ಸಾಧ್ಯತೆಯನ್ನು ಅಂಗೀಕರಿಸುತ್ತದೆ ಮತ್ತು ಪರಿಸರ ವ್ಯವಸ್ಥೆಯ ರಕ್ಷಣೆಗೆ ಆದ್ಯತೆ ನೀಡುತ್ತದೆ, ಶೋಷಣೆಯ ತಕ್ಷಣದ ಪುರಾವೆಗಳ ಅನುಪಸ್ಥಿತಿಯಲ್ಲಿಯೂ ಮುನ್ನೆಚ್ಚರಿಕೆಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ.”

ಟೆನೆಬಲ್‌ನ ಸಿಬ್ಬಂದಿ ಸಂಶೋಧನಾ ಇಂಜಿನಿಯರ್ ಸ್ಕಾಟ್ ಕವಾಝಾ, ಈ ಸಂದರ್ಭದಲ್ಲಿ CVE ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡುವುದು ಕಡಿಮೆ ನಿರ್ದಿಷ್ಟವಾಗಿದೆ ಎಂದು ಒಪ್ಪಿಕೊಂಡರು, ಆದರೆ CVE ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲು Red Hat ನ ಆಯ್ಕೆಯು “ಬಾಧಿತ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಗುರುತಿಸಲು ಹೆಚ್ಚು ಸುಲಭಗೊಳಿಸುತ್ತದೆ” ಎಂದು ಹೇಳಿದರು.

“ಪ್ರತಿಯೊಂದು ಬಾಧಿತ ಅಥವಾ ಬಾಧಿತವಲ್ಲದ ಲಿನಕ್ಸ್ ವಿತರಣೆಯು ಈ ಹಿಂಬಾಗಿಲನ್ನು ಗೊತ್ತುಪಡಿಸಲು ಸಾಮಾನ್ಯ ಗುರುತಿಸುವಿಕೆಯೊಂದಿಗೆ ಅದರ ಕ್ಲೈಂಟ್‌ಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸಬಹುದು ಮತ್ತು ಸಂಬಂಧಿತ ಪಕ್ಷಗಳು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಸಂಭವನೀಯ ನುಡಿಗಟ್ಟುಗಳನ್ನು ಹುಡುಕಲು ಪ್ರಯತ್ನಿಸುತ್ತಿಲ್ಲ ಮತ್ತು ಬದಲಿಗೆ ಈ ಸ್ಥಿತಿಯನ್ನು CVE ಗುರುತಿಸುವಿಕೆಯೊಂದಿಗೆ ಉಲ್ಲೇಖಿಸಬಹುದು. “ಕಾವೆಜ್ಜಾ ಹೇಳಿದರು. “ಇದು ಸ್ವಲ್ಪ ಅಸಾಮಾನ್ಯ ಸನ್ನಿವೇಶವಾಗಿದ್ದರೂ, 1999 ರಲ್ಲಿ CVE ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಮೊದಲ ಬಾರಿಗೆ ಪರಿಚಯಿಸಿದಾಗ, ಆ ಸಮಯದಲ್ಲಿ ಪೂರೈಕೆ ಸರಪಳಿ ದಾಳಿಗಳನ್ನು ಪರಿಗಣಿಸಿರುವುದು ಅಸಂಭವವಾಗಿದೆ.”

ತೆರೆದ ಮೂಲ ಭದ್ರತಾ ಫಲಿತಾಂಶಗಳು

ಗುಂಪಿನಲ್ಲಿ ದೋಷ ಬ್ಲಾಗ್ ಪೋಸ್ಟ್ ಹಿಂಬಾಗಿಲಿನಲ್ಲಿ, ಸ್ಕೆಲ್ಟನ್ ಸಂಶೋಧನೆಗಳು ಮತ್ತು ಇತರ ತೆರೆದ ಮೂಲ ಯೋಜನೆಗಳಿಗೆ ಸಂಭವನೀಯ ಪರಿಣಾಮಗಳನ್ನು ಎತ್ತಿ ತೋರಿಸಿದೆ.

“ಈ ಆವಿಷ್ಕಾರದ ಫಲಿತಾಂಶವೆಂದರೆ ಜಿಯಾ ಟ್ಯಾನ್ ಈ ಗ್ರಂಥಾಲಯಕ್ಕೆ ಮಾತ್ರವಲ್ಲದೆ ಇತರರಿಗೂ ಕೊಡುಗೆ ನೀಡಿದ್ದಾರೆ, ಇತರ ಘಟಕಗಳು ಸಹ ಅಸ್ತಿತ್ವದಲ್ಲಿವೆಯೇ ಎಂದು ನೋಡಲು ದೊಡ್ಡ ವಿಮರ್ಶೆ ಪ್ರಯತ್ನದ ಅಗತ್ಯವಿದೆ. ದುರ್ಬಲ ಸ್ಥಿತಿಯಲ್ಲಿರಬಹುದು” ಎಂದು ಅವರು ಬರೆದಿದ್ದಾರೆ. “ಇದಲ್ಲದೆ, ಪೂರೈಕೆ ಸರಪಳಿಯಲ್ಲಿ ಈ ಸಮಸ್ಯೆಗಳನ್ನು ತಪ್ಪಿಸುವುದು ಹೇಗೆ ಎಂಬುದು ಪ್ರಶ್ನೆಯಾಗಿದೆ – ಅಥವಾ ಅವುಗಳನ್ನು ತಪ್ಪಿಸಬಹುದೇ ಎಂಬುದು. ಓಪನ್ ಸೋರ್ಸ್ ಸಾಫ್ಟ್‌ವೇರ್ ನಾವು ಅವಲಂಬಿಸಿರುವ ಅನೇಕ ಸೇವೆಗಳು ಮತ್ತು ಕಂಪನಿಗಳ ಬೆನ್ನೆಲುಬಾಗಿದೆ – ಮತ್ತು ಎಲ್ಲವೂ ಅಗತ್ಯವಿರುವ ವಿವರಗಳ ಮಟ್ಟದಲ್ಲಿರುವುದಿಲ್ಲ. ಈ ದಾಳಿಗಳನ್ನು ತಪ್ಪಿಸಲು ನಿಕಟವಾಗಿ ಪರೀಕ್ಷಿಸಬಹುದಿತ್ತು.”

ಓಪನ್ ಸೋರ್ಸ್ ಸಾಫ್ಟ್‌ವೇರ್ ಫೌಂಡೇಶನ್‌ನ ಜನರಲ್ ಮ್ಯಾನೇಜರ್ ಓಂಕಾರ್ ಅರಸರತ್ನಂ ಅವರು ಎ ಬ್ಲಾಗ್ ಪೋಸ್ಟ್ ಓಪನ್ ಸೋರ್ಸ್ ಸಾಫ್ಟ್‌ವೇರ್‌ನ ಸ್ವರೂಪವು ಹಿಂಬಾಗಿಲನ್ನು ಪತ್ತೆಹಚ್ಚಲು, ವರದಿ ಮಾಡಲು ಮತ್ತು ತಕ್ಷಣವೇ ಪರಿಹರಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿದೆ ಮತ್ತು ಹಿಂಬಾಗಿಲಿನಿಂದ ಪ್ರಭಾವಿತವಾಗಿರುವ ವ್ಯವಸ್ಥೆಗಳ ಸಂಖ್ಯೆ “ತುಲನಾತ್ಮಕವಾಗಿ ಕಡಿಮೆ” ಎಂದು ಶನಿವಾರ ಹೇಳಿದೆ.

“ಇಂತಹ ಸಂದರ್ಭಗಳು ತೆರೆದ ಮೂಲ ಸಾಫ್ಟ್‌ವೇರ್ ಪರಿಸರ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ನಾವು ಜಾಗರೂಕರಾಗಿರಬೇಕಾದ ಎಲ್ಲವನ್ನೂ ನಮಗೆ ನೆನಪಿಸುತ್ತವೆ” ಎಂದು ಅರಸರತ್ನಂ ಬರೆದಿದ್ದಾರೆ. “ಓಪನ್ ಸೋರ್ಸ್ ಎಂದರೆ ಸದುದ್ದೇಶವುಳ್ಳ ಮಾನವರು ತಮ್ಮ ಸಮಯ ಮತ್ತು ಪ್ರತಿಭೆಯನ್ನು ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತಾರೆ ಮತ್ತು ದುಃಖಕರವೆಂದರೆ ಅದು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಬಹುದು.”

ತೆರೆದ ಮೂಲ ಭದ್ರತೆಗಾಗಿ, ಈ ರೀತಿಯ ಪೂರೈಕೆ ಸರಪಳಿ ದಾಳಿಯನ್ನು ತಡೆಯುವ ಯಾವುದೇ ಪರಿಪೂರ್ಣ ಪರಿಕರಗಳು, ಅಭ್ಯಾಸಗಳು ಇಲ್ಲ ಎಂದು ಅರಸರತ್ನಂ ಅವರು ಟೆಕ್ ಟಾರ್ಗೆಟ್ ಸಂಪಾದಕೀಯಕ್ಕೆ ತಿಳಿಸಿದರು. ಅವರು ಹೇಳಿದರು, “ಒಂದು ದಿನ ನಾವು ಮುಕ್ತ ಮೂಲ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಸುರಕ್ಷಿತಗೊಳಿಸಲು ಸಹಾಯ ಮಾಡಲು ತೆರೆದ ಮೂಲ ಭದ್ರತಾ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಹೊಂದುವ ಹಂತಕ್ಕೆ ಹೋಗಬಹುದು.” “ಓಪನ್ ಸೋರ್ಸ್ ಸಾಫ್ಟ್‌ವೇರ್‌ನಂತಹ ಡಿಜಿಟಲ್ ಸಾರ್ವಜನಿಕ ಸರಕುಗಳನ್ನು ಉತ್ಪಾದಿಸುವಾಗ ಮತ್ತು ಬಳಸುವಾಗ ನಿರ್ವಾಹಕರು ಮತ್ತು ಗ್ರಾಹಕರು ಸುರಕ್ಷಿತವಾಗಿರಲು ಸಹಾಯ ಮಾಡಲು ತಂತ್ರಜ್ಞಾನಗಳು ಮತ್ತು ಪ್ರಕ್ರಿಯೆಗಳ ವಸ್ತ್ರವನ್ನು ಬಳಸಿಕೊಂಡು ಎಲ್ಲಾ ಕೈಗಳ ವಿಧಾನದ ಅಗತ್ಯವಿದೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ.”

ಭದ್ರತಾ ಸಲಹಾ ಸಂಸ್ಥೆಯ ಬಾಂಬೆನೆಕ್ ಕನ್ಸಲ್ಟಿಂಗ್‌ನ ಅಧ್ಯಕ್ಷ ಜಾನ್ ಬಾಂಬೆನೆಕ್, “ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸಲಾಗುವ ಓಪನ್ ಸೋರ್ಸ್ ಸಾಫ್ಟ್‌ವೇರ್‌ನಲ್ಲಿ ಪರಿಚಯಿಸಲಾದ ದಾಳಿ ವೆಕ್ಟರ್‌ಗಳನ್ನು ಎದುರಿಸಲು ನಮ್ಮಲ್ಲಿ ಉತ್ತಮ ಸಾಧನಗಳಿಲ್ಲ, ಉದಾಹರಣೆಗೆ XZ” ಎಂದು ಹೇಳಿದ್ದಾರೆ.

“ಕಾಡಿನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚುವಲ್ಲಿ ನಾವು ಹೆಚ್ಚು ಉತ್ತಮವಾಗುತ್ತಿದ್ದೇವೆ ಮತ್ತು ಇದು ಏಕಕಾಲದಲ್ಲಿ ಅನೇಕ ಸಂಸ್ಥೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದರಿಂದ, ನಾವು ಬೆದರಿಕೆಯನ್ನು ತ್ವರಿತವಾಗಿ ನಿಯಂತ್ರಿಸಲು ಸಾಧ್ಯವಾಯಿತು” ಎಂದು ಅವರು ಹೇಳಿದರು. “ಸ್ವಯಂಸೇವಕರು ನಿರ್ಮಿಸಿದ ಸಾಫ್ಟ್‌ವೇರ್‌ನೊಂದಿಗೆ ನಾವು ಮಾಡಬಹುದಾದಷ್ಟು ಮಾತ್ರ ಇದೆ, ಮತ್ತು ತ್ವರಿತವಾಗಿ ಉತ್ತಮಗೊಳ್ಳಲು ನಾವು ಮಾರ್ಗಗಳನ್ನು ಕಂಡುಹಿಡಿಯಬೇಕು ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿದೆ, ಇಲ್ಲದಿದ್ದರೆ ಇದು ಸಂಭವಿಸುತ್ತಲೇ ಇರುತ್ತದೆ.”

ರಾಬ್ ರೈಟ್ ಟೆಕ್ ಟಾರ್ಗೆಟ್ ಎಡಿಟೋರಿಯಲ್ ನ ಭದ್ರತಾ ತಂಡಕ್ಕೆ ದೀರ್ಘಕಾಲದ ವರದಿಗಾರ ಮತ್ತು ಹಿರಿಯ ಸುದ್ದಿ ನಿರ್ದೇಶಕ. ಅವರು ಬ್ರೇಕಿಂಗ್ ಇನ್ಫೋಸೆಕ್ ನ್ಯೂಸ್ ಮತ್ತು ಟ್ರೆಂಡ್ ಕವರೇಜ್ ನಡೆಸುತ್ತಾರೆ. ನೀವು ಯಾವುದೇ ಸಲಹೆಗಳನ್ನು ಹೊಂದಿದ್ದೀರಾ? ಅವನಿಗೆ ಇಮೇಲ್ ಮಾಡಿ, ಅಲೆಕ್ಸಾಂಡರ್ ಕುಲಾಫಿ ಅವರು ಹಿರಿಯ ಮಾಹಿತಿ ಭದ್ರತಾ ಸುದ್ದಿ ಬರಹಗಾರ ಮತ್ತು ಟೆಕ್‌ಟಾರ್ಗೆಟ್ ಸಂಪಾದಕೀಯಕ್ಕಾಗಿ ಪಾಡ್‌ಕ್ಯಾಸ್ಟ್ ಹೋಸ್ಟ್ ಆಗಿದ್ದಾರೆ.