Ytterst välgjort om jag fattar det rätt. Flera års förberedelser, där man bland annat innan exploiten kommit på plats begärt ändringar i googles fuzzer för att den inte ska upptäcka problemet. Koden på github är tydligen Ok, men tar-bollarna som distributioner laddar ner för sina byggen har en extra rad, där man injecerar för mig totalt obegriplig kod i bygget via en xz-komprimerad testfil. OpenSSH i sig är felfritt, men drabbas eftersom distributioner patchar OpenSSH och patchar in xz för att fungera med systemd, så inget OpenSSH-folket kunde förväntas hitta i sina tester. Man verkar medvetet ha väntat tills Ubuntus merge-fönster har varit nära stängning för att få in det där.
Tyvärr har det om jag förstår det rätt funnits i Debian testing ett (kort) tag två månader. Det är ju rätt välanvänt.
Ja, det ser definitivt ut som att de jobbat på detta sedan åtminstone 2021.
Ja, jag såg senare att paket med bakdörren faktiskt hunnit ut i vissa distributioner. Justerade första inlägget ifall folk inte läser hela tråden.