Дыра в xz 5.6.0
2024-03-29 13:18![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vak(отсюда)
Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.
Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный вредоносный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносного кода (замаскированного под тестовый архив bad-3-corrupt_lzma2.xz) в бинарный файл liblzma.
Особенность инцидента состоит в том, что вредоносный код содержится только в распространяемых tar-архивах с исходным кодом и не присутствует в git-репозитории проекта.
Сообщение от Andres Freund с подробным анализом: lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/
Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.
Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный вредоносный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносного кода (замаскированного под тестовый архив bad-3-corrupt_lzma2.xz) в бинарный файл liblzma.
Особенность инцидента состоит в том, что вредоносный код содержится только в распространяемых tar-архивах с исходным кодом и не присутствует в git-репозитории проекта.
Сообщение от Andres Freund с подробным анализом: lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/
no subject
Date: 2024-03-31 08:44 (UTC)Самый смак там что этот Jin нашёл проект с только одним мантейнером, да и тем больным, джва года коммитил чтобы стать своим, и потом, когда главный чувак совсем слёг, он его уломал отдать ему всё вообще по состоянию здоровья.
Параллельно он и его вирты ходили пушили Линукс-дистрибутивщиков чтобы они активнее переходили на новые версии xz.
Это всё просто гениально провёрнуто, не удивлюсь если кто-то из ихних и добавил зависимость к xz у systemd. И они почти протащили свою хреновину в xz-embedded, в это уже часть ядра Линукс.
А сколькие смогли протащить?