Pendant plus de deux ans, un attaquant utilisant le nom de "Jia Tan" a travaillé comme un contributeur diligent et efficace à la bibliothèque de compression xz, se voyant finalement accorder l'accès au commit et à la maintenance. Grâce à cet accès, il a installé une porte dérobée très subtile et soigneusement cachée dans liblzma, une partie de xz qui se trouve également être une dépendance d'OpenSSH sshd sur Debian, Ubuntu, Fedora et d'autres systèmes Linux basés sur systemd. Cette porte dérobée permet à l'attaquant d'envoyer des commandes cachées au début d'une session SSH, ce qui lui donne la possibilité d'exécuter une commande arbitraire sur le système cible sans se connecter : une exécution de code à distance ciblée et non authentifiée.

Récemment, un membre du Forum des NAS était bloqué après la mise à jour vers DSM 7. En effet, le paquet Synology Drive Server refusait de démarrer. Ce paquet officiel restait inlassablement sur le statut "Démarrage en cours". Malheureusement pour lui, aucune action n'était possible via l'interface d'administration. Le bouton…