Ein möglicher staatlicher Akteur hat eine Backdoor in der liblzma-Bibliothek platziert, die möglicherweise die Authentifizierungsfunktion von OpenSSH beeinflusst.1

Die große Security-Community ist alarmiert und warnt vor potenziell betroffenen Linux-Distributionen und macOS-Anwendungen, während die genaue Funktionsweise und potenzielle Ausnutzung der Hintertür noch unklar ist.

Diese Situation verdeutlicht die Risiken in der Open-Source-Entwicklung, die ich in den letzten Monaten im meinem Team thematisiere. Es wird deutlich, dass blinde Vertrauen allein nicht ausreicht und es keine absolute Sicherheit in der Softwareentwicklung geben kann. Dies liegt daran, dass es nahezu unmöglich ist, jeden einzelnen Code auf potenzielle Schwachstellen zu prüfen, insbesondere wenn es um versteckte Hintertüren geht, die von mächtigen Akteuren bewusst platziert werden können.


  1. Dr. Christopher Kunz berichtet in »Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen« für heise.de ↩︎