Jak nie śledzicie ostatnich dram w świecie programowania/open source, to oto przedstawiam nową i dość specyficzną - qarmin

Zawodowiec

w Programowanie 2024-03-30T09:57:55+01:00

Jak nie śledzicie ostatnich dram w świecie programowania/open source, to oto przedstawiam nową i dość specyficzną, bo ocierającą się o możliwe tworzenie backdoorów przez rządy w popularnej bibliotece do kompresji w Linuxie(nawet jeśli jej nie używacie bezpośrednio, to masa programów w systemie jej używa pod spodem).

W skrócie to autor biblioteki w wersji 5.6.0/5.6.1 zaczął dodawać stopniowo "obfuscated"(czyli to chyba się tłumaczy jako zaciemniony) kod, który ostatecznie miał raczej pozwalać na umożliwienie zdalnego dostępu do maszyny(ponieważ xz jest używany przez openssh).

Analiza - https://www.openwall.com/lists/oss-security/2024/03/29/4
Inna analiza - https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

Wątki na internecie - polecam przeczytać komentarze, które wyjaśniają niektóre rzeczy:

Backdoor został wykryty, ponieważ powodował duże spadki wydajności oraz nie lubiał się z valgrindem, który przeczuwał że coś z binarką nie jest w porządku(wygląda że plik binarny sam się modyfikował)

Dla uspokojenia, problematyczne wersje były używane głównie w niestabilnych wersjach dystrybucji.

#programowanie
#linux
#opensource

oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise

Openwall

sierzant_armii_12_malp 2024-03-30T10:57:50+01:00

@qarmin Nawet o tym znalezisko w nocy zrobiłem: https://www.hejto.pl/wpis/backdoor-w-xz-artykul-po-angielsku

Nasze Chipy, PCLab’y, Niebezpieczniki, Zaufane Strony, i inne serwisy pewnie się obudzą za tydzień

Backdoor w XZ (artykuł po angielsku) - sierzant_armii_12_malp - Hejto.pl

Jakiś huncwot zdołał przemycić złośliwy kod do oficjalnego tarballa XZ. Część dystrybucji Linuksa zdążyło go już zaciągnąć i udostępnić użytkownikom - na szczęście zazwyczaj w wersjach typu unstable, testing, itd. :confused: #komputery #informatyka #linux

Hejto.pl

malkontenthejterzyna 2024-03-30T12:36:12+01:00

@sierzant_armii_12_malp zareagował już sekurak:

https://sekurak.pl/alert-ktos-zbackdoorowal-narzedzie-xz-sluzy-do-kompresji-dekompresji-narzedzie-jest-bardzo-popularne-w-swiecie-linuksa-cve-2024-3094/

🔴 Alert. Ktoś zbackdoorował narzędzie xz (służy do kompresji/dekompresji; narzędzie jest bardzo popularne w świecie Linuksa). CVE-2024-3094

Sprawa jest rozwojowa, a jeśli ktoś chce przejść od razu do oryginalnego zgłoszenia problemu – zapraszam tutaj. Backdoor pojawił się w wersjach 5.6.0 and 5.6.1 (xz-utils) i występuje w oficjalnych archiwach .tgz narzędzia (nie ma go w kodzie w repozytorium GitHub). Obecnie wersja 5.6.1 jest najnowsza, a 5.6.0 została wypuszczona nieco...

Sekurak

Dzemik_Skrytozerca 2024-03-30T13:50:29+01:00

I nikt nie napisze gdzie doszło do naruszenia bezpieczeństwa? Ludzie, wy macie jakieś pojęcie o dokumentowaniu rzeczy? A wystarczy dodać:

Backdoor in upstream xz/liblzma leading to SSH server compromise [CVE-2024-3094]

Ten dopisek ma też od razu funkcje, że dobrze się sprawdza w Google.

Catharsis 2024-03-30T16:28:57+01:00

@qarmin Jak się kładłem spać to widziałem już o tym jakiś artykuł. Jak po obudzeniu się odpaliłem kompa to od razu mi się odpaliła przeglądarka bo nowy wpis w "arch news" a tam żeby szybko zaktualizować system bo jest backdoor w paczce. No to szybkie pacman -Syu i patrzę, mam już zainstalowaną wersję bez backdoora, taki Arch moment bo nawet nie wiem kiedy zrobiłem ten update xD

vinclav 2024-03-30T22:05:03+01:00

@qarmin szczerze powiedziawszy, to mnie wcale nie dziwi, AI i te gówno czaty GPT pchają oprogramowanie w closed source.

Taki zabieg ma na celu coś takiego " ej no nie dajmy tak sobie puszowac komustam coś w sieć, zablokujemy dostęp do kodu".

Na co tępe masy przystaną, nadzieja dziwna epoka, w której programiści będą się uczyć, lub też nie, języków na zlecenie pracodawców, a to już nie będzie indiańskie eldorado.

Zaloguj się aby komentować