Wir erinnern uns daran: Damals konnten durch ein Backdoor in der xz-Bibliothek SSH-Implementierungen kompromittiert werden.
Und dies, obwohl SSH die xz-Bibliothek eigentlich gar nicht verwendet.
Schuld daran dass SSH von diesem Bug dennoch betroffen war, war die Verwendung der Systemd-Bibliothek durch OpenSSH.
Denn da systemd immer bestrebt ist das fetteste aller Software-Pakete zu werden, ist es von unzähligen anderen Bibliotheken abhängig, darunter auch die erwähnte xz-Bibliothek.
Systemd wurde also genau so wie Sicherheitsexperten schon seit Jahren davor warnen, als Angriffsvektor benutzt um ein ansonsten eigentlich völlig unschuldiges Programm wie OpenSSH zu korrumpieren.
Die damalige Sicherheitslücke steckt nicht in OpenSSH. Der einzige Fehler den die OpenSSH-Autoren machten, war zu glauben dass man systemd-support in ein Programm einbauen kann ohne es zu gefährden.
Ein fetter Moloch wie Systemd ist eine unverzeihliche Sicherheit-UnterlassungssĂĽnde.
Allein schon in den mittlerweile weit ĂĽber einer Million Codezeilen des Systemd-Quelltextes lauern bereits genug Fehler dass man noch Jahrzehnte damit zubringen wird die alle zu finden.
Dass es diese Fehler gibt, ist eine statistische nahezu-Sicherheit. Man braucht sich nur die Anzahl der bereits bekannt gewordenen und behobenen Fehler in systemd ansehen, die durchschnittliche Anzahl der Codezeilen zwischen den Fehlern errechnen, und dies auf den gesamten Umfang des Quelltextes umrechnen.
Aber damit nicht genug, verwendet systemd auch noch unzählige zusätzliche Bibliotheken, wie eben die erwähnter xz-Library. Und auch jedes Sicherheitsleck in solch einer Bibliothek wird damit zu einer von systemd.
Systemd mag angenehm fĂĽr Endbenutzer sein, aber es ist ein Security-Debakel noch schlimmer als Adobe Flash, und nur geringfĂĽgig besser als JavaScript im Webbrowser.
In sicherheits-sensitiven Installationen hat systemd schlicht nichts zu suchen.
Freilich sind nicht alle Rechner sicherheits-sensitiv.
Wenn einem fĂĽr Linux eine Systemsicherheit wie jene unter Microsoft Windows vollkommen ausreicht, kann man systemd durchaus verwenden.
Was dem Windows-User sein "svshost" ist, ist dem Linux-User sein "systemd".
Wenn ich daher in diesem Artikel lesen muss, dass systemd irgend etwas "sicherer" machen soll, tue ich mir schwer bei der Entscheidung ob lachen oder weinen die angebrachtere Reaktion sei.
"sudo" mag seine Schwächen haben, aber im Vergleich zu "systemd" ist es immer noch atombombensicher!