Rimossi i contributi dell’autore della backdoor nella libreria XZ e cambiata la Licenza
La backdoor che ha colpito la libreria delle utilità del formato di compressione XZ è diventata uno dei più grandi scandali di sicurezza nella storia del software open source e del mondo Linux. Tuttavia resta la consolazione che la vulnerabilità è stata rilevata prima che fosse troppo tardi grazie all’indagine condotta da un dipendente Microsoft.
La storia della backdoor nella libreria delle utilità del formato di compressione XZ è perfetta per un film di spionaggio, poiché Jia Tan, il nome usato dalla persona che l’ha messa in opera, ha dovuto manovrare un bel po’ per evitare che venisse scoperta. In realtà la vulnerabilità non era presente nel codice sorgente del software ma nei binari compilati che vengono messi a disposizione, il che ha permesso di non farla notare nonostante alcune modifiche introdotte nel codice sorgente avrebbero dovuto destare qualche sospetto.
Poiché la falla di sicurezza è stata rilevata prima che fosse troppo tardi, è stato possibile adottare misure adeguate per evitare il peggio, ma la gravità e la complessità della questione richiedono ulteriori azioni per ridurre al minimo le possibilità che qualcosa di simile accada di nuovo.
Per rafforzare XZ per il futuro, una patch rilasciata il 21 luglio ha introdotto un paio di modifiche interessanti.
La prima prevede la rimozione di Jia Tan dai manutentori del software insieme a tutti i suoi messaggi di commit, mentre la seconda comporta un cambio di licenza di XZ Embedded, che è passato dal pubblico dominio alla BSD Zero Clause License (0BSD), tradotta letteralmente sarebbe una licenza BSD a clausola zero.
Nonostante il nome e come spiegato sul sito dell’Open Source Initiative, la licenza 0BSD non deriva da alcuna licenza BSD, ma è piuttosto una modifica della licenza ISC. La licenza BSD Zero Clause è stata originariamente approvata come ‘Licenza pubblica gratuita 1.0.0’. La sua formulazione inglese è molto breve, il che suggerisce che si tratti di una licenza open source assai permissiva. I responsabili di XZ spiegano che ora è possibile aggiungere gli identificatori di licenza SPDX corrispondenti.
La rimozione dei contenuto di Jia Tan era qualcosa che ci si aspettava, considerando l’origine e la natura della vulnerabilità, ma il cambio di licenza è forse qualcosa che coglierà di sorpresa più persone.
Fonte: https://lore.kernel.org/lkml/20240721133633.47721-11-lasse.collin@tukaani.org/T/
Fonte: https://www.muylinux.com/2024/07/22/xz-licencia-elimina-puerta-trasera/
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
