Ubuntu,最受欢迎的Linux发行版,在其乌克兰语翻译被发现含有仇恨言论后,已经撤下了其桌面版23.10。
根据Ubuntu项目的说法,一个恶意的贡献者通过一个存在于Ubuntu存档之外的“第三方工具”注入了反犹太主义、恐同主义和仇外主义的诽谤。
乌克兰语翻译带有“侮辱性”的字符串
本周,Ubuntu在乌克兰版本中发现带有侮辱性的字符串后,撤下了桌面安装程序23.10。
“我们已经在我们的一些翻译中发现了来自恶意贡献者的仇恨言论,这些翻译是作为Ubuntu存档之外的第三方工具的一部分提交的。”
宣布
该项目。
“Ubuntu 23.10镜像已经被撤下,一旦正确的翻译恢复,就会有一个新版本。”
在它的社区论坛上,Ubuntu团队更进一步
解释
恶意的乌克兰语翻译是由一个社区贡献者提交给一个“公开的第三方在线服务”,这个服务是由Ubuntu桌面安装程序提供语言支持的。
“在Ubuntu 23.10发布大约三个小时后,我们注意到了这一事实,我们立即删除了受影响的图像。
在完成初始分类之后,我们认为该事件仅影响通过Live CD环境安装期间呈现给用户的翻译(而不是升级)。在安装期间,翻译仅驻留在内存中,不会传播到磁盘。如果你已经从以前的版本升级到Ubuntu Desktop 23.10,那么你就不会受到这个问题的影响。
受影响的镜像是Ubuntu Desktop 23.10和Ubuntu Budgie 23.10。
Ubuntu Desktop Legacy ISO仍然可用,不受影响。
请记住,翻译是支持应用程序国际化的数据文件。这些文件在第三方在线系统的支持下进行更新,这些系统由世界各地的个人贡献,然后集成到Ubuntu中。当这种合作之路被破坏并被用作社会侵略的机制时,这是很不幸的。Canonical和Ubuntu不会容忍任何形式的仇恨言论或冒犯性语言。
我们的行为准则
”。
一个GitHub
把请求
被Reddit用户发现[
1
,
2
], BleepingComputer在10月12日左右删除了“侮辱性的(本地化)字符串”。
BleepingComputer观察到一个名为“Danilo Negrilo”的用户注入了神秘的恶意乌克兰字符串
接近尾声
的翻译文件,使它们更难被发现。
尽管这些恶意的翻译是在中东紧张局势加剧的时候被发现的,但历史证实,这些破坏行为发生在9月22日左右,也就是在以色列和哈马斯战争开始之前。
对恶意软件注入的担忧
考虑到这次事件的影响仍然仅限于翻译,用户已经开始担心恶意软件可能会以类似的方式通过依赖注入到未来的Ubuntu版本中。
“我信任Ubuntu,因为它是最广泛使用的,所以它应该有最好的审查团队,但如果这种情况发生在翻译上而没有人看到,想象一下恶意软件被注入的依赖。”
发布
X(以前的Twitter)上的用户。“我认为没有人会评论任何东西。”
“如果这是真的,那么这意味着你没有在测试你的发行版的非英语版本。”
说
另一个。
“恶意软件来自恶意行为者的可能性很大。这是一个需要弥合的问题。你不是初级操作系统。你们是一家大公司& &;这不应该发生。”
然而,值得注意的是,审查以不同语言提交的翻译(除非开发人员自己精通这些语言)是一项更具挑战性的任务,而常规的代码安全审计可能不是为此而设计的。
此外,依赖项、代码和开源组件可能会经历一个单独的验证过程,目的是阻止恶意软件,而不是适合翻译的验证过程,这使得此类事件更难被发现。
Ubuntu现在
恢复
它的乌克兰语翻译为“被破坏之前的国家”,但它是
花费额外的时间
“在正式发布之前进行更广泛的审核。”
同时,建议用户从网站下载Ubuntu Desktop 23.10
Ubuntu下载
页面使用不受事件影响的旧版安装程序ISO。或者,用户可以从以前支持的Ubutnu版本升级。
如若转载,请注明出处:https://www.ozabc.com/anquan/537067.html