W skrócie to autor biblioteki w wersji 5.6.0/5.6.1 zaczął dodawać stopniowo "obfuscated"(czyli to chyba się tłumaczy jako zaciemniony) kod, który ostatecznie miał raczej pozwalać na umożliwienie zdalnego dostępu do maszyny(ponieważ xz jest używany przez openssh).
Analiza - https://www.openwall.com/lists/oss-security/2024/03/29/4
Inna analiza - https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
Wątki na internecie - polecam przeczytać komentarze, które wyjaśniają niektóre rzeczy:
-
https://www.reddit.com/r/linux/comments/1bqt999/backdoor_in_upstream_xzliblzma_leading_to_ssh/
-
https://www.reddit.com/r/archlinux/comments/1bqx81e/arch_linux_news_the_xz_package_has_been_backdoored/
-
https://www.reddit.com/r/programming/comments/1bqxynh/major_linux_distributions_impacted_by_xz/
-
https://news.ycombinator.com/item?id=39865810
Backdoor został wykryty, ponieważ powodował duże spadki wydajności oraz nie lubiał się z valgrindem, który przeczuwał że coś z binarką nie jest w porządku(wygląda że plik binarny sam się modyfikował)
Dla uspokojenia, problematyczne wersje były używane głównie w niestabilnych wersjach dystrybucji.
#programowanie
#linux
#opensource

@sierzant_armii_12_malp zareagował już sekurak:
https://sekurak.pl/alert-ktos-zbackdoorowal-narzedzie-xz-sluzy-do-kompresji-dekompresji-narzedzie-jest-bardzo-popularne-w-swiecie-linuksa-cve-2024-3094/
🔴 Alert. Ktoś zbackdoorował narzędzie xz (służy do kompresji/dekompresji; narzędzie jest bardzo popularne w świecie Linuksa). CVE-2024-3094
Sprawa jest rozwojowa, a jeśli ktoś chce przejść od razu do oryginalnego zgłoszenia problemu – zapraszam tutaj. Backdoor pojawił się w wersjach 5.6.0 and 5.6.1 (xz-utils) i występuje w oficjalnych archiwach .tgz narzędzia (nie ma go w kodzie w repozytorium GitHub). Obecnie wersja 5.6.1 jest najnowsza, a 5.6.0 została wypuszczona nieco...