Дыра в xz 5.6.0

2024-03-29 13:18
vak: (Daemon)
[personal profile] vak
(отсюда)

Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.

Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный вредоносный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносного кода (замаскированного под тестовый архив bad-3-corrupt_lzma2.xz) в бинарный файл liblzma.

Особенность инцидента состоит в том, что вредоносный код содержится только в распространяемых tar-архивах с исходным кодом и не присутствует в git-репозитории проекта.

Сообщение от Andres Freund с подробным анализом: lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/
Flat | Top-Level Comments Only

Date: 2024-03-29 20:43 (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

Ни фига себе. А отследить, откуда такие тары берутся. Красиво, впрочем.

Date: 2024-03-29 21:17 (UTC)
vak: (Default)
From: [personal profile] vak
Ну я надеюсь, опытные люди отследят.

Date: 2024-03-30 01:25 (UTC)
sobriquet9: (Default)
From: [personal profile] sobriquet9

Отследили, это один из двух наиболее активных разработчиков.

Date: 2024-03-30 06:55 (UTC)
fenikso: (Default)
From: [personal profile] fenikso
https://lcamtuf.substack.com/p/technologist-vs-spy-the-xz-backdoor

тут еще немного, timeline впечатляет

Date: 2024-03-30 07:43 (UTC)
vak: (Default)
From: [personal profile] vak
И теперь ведь хрен избавишься от этого xz.

$ brew remove xz
Error: Refusing to uninstall /usr/local/Cellar/xz/5.6.1
because it is required by adwaita-icon-theme, aom, appstream, archey4, arpack, asciidoc, at-spi2-core, avrdude, awscli, boost, bpytop, curl, djvulibre, dosbox-x, dpkg, dungeon, edencommon, emscripten, enchant, far2l, fb303, fbthrift, ffmpeg, fftw, fig2dev, fizz, folly, fpm, gallery-dl, gcc, gcc@12, gd, gdb, gdk-pixbuf, ghostscript, glances, glib, glib-networking, glibmm, glibmm@2.66, gnuplot, gobject-introspection, graphene, graphicsmagick, graphviz, groff, gsettings-desktop-schemas, gspell, gtk+, gtk+3, gtk-mac-integration, gtk4, gtkmm4, gtksourceview3, gtksourceview4, gts, harfbuzz, hdf5, i686-elf-binutils, imagemagick, instead, jpeg-xl, julia, keyring, ldc, leptonica, libadwaita, libarchive, libavif, libcroco, libftdi, libgedit-amtk, libgedit-gtksourceview, libhandy, libheif, liblqr, libpeas, libqalculate, libraw, librsvg, libslirp, libtiff, libxmlb, libzip, little-cms2, llvm, llvm@11, llvm@12, llvm@15, mactex, macvim, mercurial, meson, mono, mscgen, netpbm, ngspice, numpy, open-mpi, openblas, openjdk, openjpeg, openvino, pango, pangomm, php, pmd, pngquant, poppler, pstoedit, psutils, py2cairo, pygobject3, pyinstaller, python-tk@3.10, python-tk@3.9, python@3.10, python@3.11, python@3.12, python@3.8, python@3.9, qalculate-gtk, qemu, qrupdate, qt, qt@5, qtads, riscv64-elf-binutils, sbt, scala, scons, sdcc, sdl2_image, source-highlight, sphinx-doc, suite-sparse, sundials, swi-prolog, tepl, tesseract, wangle, watchman, webp, wxwidgets, x86_64-elf-binutils, xfig, xonsh, ykman, youtube-dl, zenity, zig and zstd, which are currently installed.
Edited Date: 2024-03-30 07:43 (UTC)

Date: 2024-03-30 08:24 (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

Бля.

9:22:10 out> brew info xz
==> xz: stable 5.6.1 (bottled)
General-purpose data compression with high compression ratio
https://xz.tukaani.org/xz-utils/
/usr/local/Cellar/xz/5.6.1 (166 files, 2.6MB) *
  Poured from bottle using the formulae.brew.sh API on 2024-03-16 at 12:03:55

Свежачок.

Date: 2024-03-30 11:10 (UTC)
vlad_m: (Default)
From: [personal profile] vlad_m
А брю из архивов собирает или из гита?

Date: 2024-03-30 11:18 (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

FIIK; кажется, по линку расписано - там какие-то скрипты вставляют что-то в другие скрипты.

Тут ещё вопрос, конечно - а что, тестов к этому коду не положено? Если б они были, блокирование этих тестов, наверно, кто-нибудь бы да заметил.

Date: 2024-03-30 16:07 (UTC)
sobriquet9: (Default)
From: [personal profile] sobriquet9

Закладка как раз и была в заведомо плохих данных для теста, которые тест должен обнаруживать при нормальном поведении. Ну и ещё затравка в мейкфайле.

Date: 2024-03-30 18:39 (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

Ого. Серьёзная тема.

Date: 2024-03-30 08:21 (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

Ха. Китаец. Даже не скрывался за псевдонимнм, что ли.

Edited Date: 2024-03-30 08:47 (UTC)

Date: 2024-03-30 11:59 (UTC)
From: [personal profile] ivanrubilo
Там несколько вымышленных персонажей было сделано. Этот Jin тоже вымышленный и хз какая национальность на самом деле. Может даже русня. В рассылках пришли к заключению что похоже на state agent.
Я не удивлюсь если Китай за этим стоит.

Date: 2024-03-30 14:09 (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

Да, резонно. Кто угодно может быть. Притвориться онлайн китайцем может каждый (у меня был мейловый адрес keyung-something).

Date: 2024-03-31 08:44 (UTC)
From: [personal profile] ivanrubilo
Как по-мне, так кореец больше какой-то. Кстати северокорейские товарищи тоже хакают нормально.
Самый смак там что этот Jin нашёл проект с только одним мантейнером, да и тем больным, джва года коммитил чтобы стать своим, и потом, когда главный чувак совсем слёг, он его уломал отдать ему всё вообще по состоянию здоровья.
Параллельно он и его вирты ходили пушили Линукс-дистрибутивщиков чтобы они активнее переходили на новые версии xz.
Это всё просто гениально провёрнуто, не удивлюсь если кто-то из ихних и добавил зависимость к xz у systemd. И они почти протащили свою хреновину в xz-embedded, в это уже часть ядра Линукс.
А сколькие смогли протащить?
Edited Date: 2024-03-31 08:47 (UTC)

Date: 2024-03-30 01:26 (UTC)
sobriquet9: (Default)
From: [personal profile] sobriquet9

Товарищ не читал Кена Томпсона "Reflections on trusting trust", поэтому и попался.

Flat | Top-Level Comments Only