Richard Hughes se na blogu vyjádřil k bezpečnostnímu problému v XZ vzhledem k projektu Fwupd. Ten slouží k automatické aktualizaci firmware uvnitř linuxových počítačů. Nástroj si pravidelně stahuje 9,5MB soubor ve formátu XML. V zákulisí se vlastně děje to, že knihovna libxmlb načte volitelně komprimovaná metadata a poté je fwupd použije k vyhledání nových aktualizací pro konkrétní hardware,
vysvětluje autor projektu.
XML se ale výborně komprimuje, takže to Fwupd pochopitelně dělá. Do roku 2021 se k tomu používal gzip, poté projekt přešel na xz. Komprimovaný soubor se tak zmenšil z 1,6 MB na 1,1 MB, což odlehčilo uživatelským linkám, ale hlavně CDN. Tento týden jsme se ale dozvěděli, že xz není něco, na čem bychom chtěli být závislí.
Fwupd podle Hugese žádný bezpečnostní problém nemá, ale z předběžné opatrnosti se rozhodl kompresní algoritmus změnit. K podpoře gzip a xz tak přidal také variantu zstd, která je nyní výchozí. Metadata komprimovaná pomocí zstd jsou zhruba o 3 % menší než když je komprimoval xz a navíc se také rychleji dekomprimují. Skutečným přínosem ale je, že jim nyní věřím mnohem více než xz.
ČLÁNKY DO MAILU