Ontwikkelaar Debian ΠΈ ΠΈΡΡΠ»Π΅Π΄ΠΎΠ²Π°ΡΠ΅Π»Ρ Π² ΡΡΠ΅ΡΠ΅ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΎΠ½Π½ΠΎΠΉ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΠΈ Andres Freund ΡΠΎΠΎΠ±ΡΠ°Π΅Ρ ΠΎΠ± ΠΎΠ±Π½Π°ΡΡΠΆΠ΅Π½ΠΈΠΈ Π²Π΅ΡΠΎΡΡΠ½ΠΎΠ³ΠΎ Π±ΡΠΊΠ΄ΠΎΡΠ° Π² ΠΈΡΡ ΠΎΠ΄Π½ΠΎΠΌ ΠΊΠΎΠ΄Π΅ xz Π²Π΅ΡΡΠΈΠΉ 5.6.0 ΠΈ 5.6.1.
Die agterdeur is reΓ«l in een van die m4 skrifte, wat verduisterde kwaadwillige kode aan die einde van die konfigurasieskrip voeg. Hierdie kode wysig dan een van die projek se gegenereerde Makefiles, wat uiteindelik daartoe lei dat kwaadwillige kode (vermom as 'n toetsargief bad-3-corrupt_lzma2.xz) in die liblzma-binΓͺre ingevoer word.
Die eienaardigheid van die voorval is dat die kwaadwillige kode bevat het slegs in verspreide bronkode-tarballs en is nie teenwoordig in die projek se git-bewaarplek nie.
Daar word berig dat die persoon namens wie die kwaadwillige kode by die projek se bewaarplek gevoeg is Γ³f direk betrokke was by wat gebeur het, Γ³f die slagoffer was van 'n ernstige kompromie van sy persoonlike rekeninge (maar die navorser is geneig tot die eerste opsie, aangesien hierdie persoon het persoonlik deelgeneem aan verskeie besprekings wat verband hou met kwaadwillige veranderinge).
Volgens die skakel merk die navorser op dat die uiteindelike doel van die agterdeur blyk te wees om kode in die sshd-proses in te spuit en die RSA-sleutelverifikasiekode te vervang, en bied verskeie maniere om indirek te kontroleer of kwaadwillige kode tans op jou stelsel loop.
Volgens 'n nuusberig openSUSE-projek, as gevolg van die kompleksiteit van die agterdeur-kode en die veronderstelde meganisme van sy werking, is dit moeilik om te bepaal of dit ten minste een keer op 'n gegewe masjien "gewerk" het, en beveel 'n volledige herinstallering van die bedryfstelsel aan met rotasie van alle relevante sleutels op alle masjiene wat ten minste een keer met xz-weergawes besmet is.
Bron: linux.org.ru
