vak: (Daemon)
Serge Vakulenko ([personal profile] vak) wrote2024-03-29 01:18 pm
  • Add Memory
  • Share This Entry

Дыра в xz 5.6.0

(отсюда)

Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.

Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный вредоносный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносного кода (замаскированного под тестовый архив bad-3-corrupt_lzma2.xz) в бинарный файл liblzma.

Особенность инцидента состоит в том, что вредоносный код содержится только в распространяемых tar-архивах с исходным кодом и не присутствует в git-репозитории проекта.

Сообщение от Andres Freund с подробным анализом: lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/
Threaded | Flat
juan_gandhi: (Default)

[personal profile] juan_gandhi 2024-03-29 08:43 pm (UTC)(link)

Ни фига себе. А отследить, откуда такие тары берутся. Красиво, впрочем.

sobriquet9: (Default)

[personal profile] sobriquet9 2024-03-30 01:26 am (UTC)(link)

Товарищ не читал Кена Томпсона "Reflections on trusting trust", поэтому и попался.

Threaded | Flat