В одном из популярных Open Source решений — Linux — нашли уязвимость, из-за которой миллионы серверов по всему миру могли перейти под контроль хакера. Максим Балтин и Анастасия Радостева («Технологии доверия», ТеДо) советуют компаниям быть осторожными
Сегодня многие корпоративные IТ-продукты, даже платные, основаны на Open Source — открытом коде, который могут развивать все желающие. Принято считать, что сила Open Source (или «открытого кода») — в сплоченном сообществе разработчиков. Над кодом работает «бесконечное» количество энтузиастов: если один пропустит ошибку, ее заметят и исправят другие. Так ли это на самом деле?
Что случилось
29 марта 2024 года инженер Microsoft сообщил об уязвимости в коде Linux. Целью хакера, написавшего вредоносный код, был SSH — самый популярный протокол подключения к Linux-серверам. Инженер обнаружил уязвимость случайно: она больше месяца оставалась незамеченной. Еще месяц-два — и уязвимость вместе с обновлениями отправилась бы на миллионы серверов по всему миру. Тогда хакеры получили бы доступ к этим серверам.
Почему же «сила сообщества» не сработала и никто не заметил уязвимость раньше?
