Дыра в xz 5.6.0

2024-03-29 13:18
vak: (Daemon)
[personal profile] vak
(отсюда)

Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.

Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный вредоносный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносного кода (замаскированного под тестовый архив bad-3-corrupt_lzma2.xz) в бинарный файл liblzma.

Особенность инцидента состоит в том, что вредоносный код содержится только в распространяемых tar-архивах с исходным кодом и не присутствует в git-репозитории проекта.

Сообщение от Andres Freund с подробным анализом: lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/
Flat | Top-Level Comments Only

Date: 2024-03-30 11:18 (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

FIIK; кажется, по линку расписано - там какие-то скрипты вставляют что-то в другие скрипты.

Тут ещё вопрос, конечно - а что, тестов к этому коду не положено? Если б они были, блокирование этих тестов, наверно, кто-нибудь бы да заметил.

Date: 2024-03-30 16:07 (UTC)
sobriquet9: (Default)
From: [personal profile] sobriquet9

Закладка как раз и была в заведомо плохих данных для теста, которые тест должен обнаруживать при нормальном поведении. Ну и ещё затравка в мейкфайле.

Date: 2024-03-30 18:39 (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

Ого. Серьёзная тема.

Flat | Top-Level Comments Only