gentooman
gentooman via Wykop
@severh: Głupoty piszesz. Exploit był zaszyty w paczkach z xz w skryptach autotools - nie było go widać w kodzie na githubie. Standardowo OpenSSH nie używa xz, ale dystrybucje w formie patchy dodają lepszą współpracę z systemd przez mechanizm powiadomień. W tym celu linkują do libsystemd, które linkuje do xz. Exploit w xz podmieniał jedną z funkcji z której korzysta OpenSSH i w ten sposób umożliwiał wykonanie dowolnego kodu.