المطور Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.
الباب الخلفي هو سطر في أحد البرامج النصية M4، والذي يقوم بإلحاق تعليمات برمجية ضارة مبهمة بنهاية البرنامج النصي للتكوين. يقوم هذا الرمز بعد ذلك بتعديل أحد ملفات Makefiles التي تم إنشاؤها في المشروع، مما يؤدي في النهاية إلى إدخال تعليمات برمجية ضارة (متخفية في شكل أرشيف اختبار bad-3-corrupt_lzma2.xz) في الملف الثنائي liblzma.
خصوصية الحادث هو أن التعليمات البرمجية الخبيثة الواردة فقط في كرات قطران التعليمات البرمجية المصدر الموزعة وغير موجودة في مستودع git الخاص بالمشروع.
يُذكر أن الشخص الذي أُضيفت الشفرة الخبيثة نيابةً عنه إلى مستودع المشروع، إما كان متورطًا بشكل مباشر فيما حدث، أو كان ضحية اختراق خطير لحساباته الشخصية (لكن الباحث يميل إلى الخيار الأول، إذ شارك هذا الشخص شخصيًا في العديد من المناقشات المرتبطة بالتغييرات الضارة).
ووفقًا للرابط، يشير الباحث إلى أن الهدف النهائي للباب الخلفي يبدو أنه إدخال التعليمات البرمجية في عملية sshd واستبدال رمز التحقق من مفتاح RSA، ويوفر عدة طرق للتحقق بشكل غير مباشر مما إذا كانت التعليمات البرمجية الضارة قيد التشغيل حاليًا على نظامك.
بحسب مقال إخباري مشروع أوبن سوزي، نظرًا لتعقيد رمز الباب الخلفي وآلية تشغيله المفترضة، فمن الصعب تحديد ما إذا كان "يعمل" مرة واحدة على الأقل على جهاز معين، وتوصي بإعادة تثبيت نظام التشغيل بالكامل مع تدوير جميع المفاتيح ذات الصلة على جهاز معين. جميع الأجهزة التي أصيبت بإصدارات xz مرة واحدة على الأقل.
المصدر: linux.org.ru
