Lasse Collin, stari održavatelj xz projekta koji je 2022. prenio prava na novog održavatelja Jia Tan, čije su aktivnosti dovele do uvođenja backdoor-a, objavio je korektivna izdanja paketa XZ Utils 5.2.13, 5.4.7 i 5.6.2. XNUMX, koji je uklonio backdoor komponente i druge sumnjive promjene dodane kao rezultat zlonamjernih aktivnosti prethodnog održavatelja.
Osim toga, izvještaj o pregledu je objavljen na Git repozitorijumu i dodane su promjene od decembra 2022. godine tokom mandata Jia Tan kao održavaoca. Promjene se analiziraju na nivou pojedinačnih urezivanja. Urezivanja u repozitorijumu nisu bila digitalno potpisana, ali nije bilo znakova neovlašćenog pristupa od strane izvršilaca. Ukupno 8 zlonamjernih urezivanja je uklonjeno iz spremišta.
CRC CLMUL kod, koji dovodi do lažnih pozitivnih rezultata prilikom provjere u MSAN-u (memory sanitizer) i problema sa OSS Fuzz-om, još nije uklonjen iz baze kodova. U budućnosti planiraju preraditi ovaj kod, ali je za sada odlučeno da ga ne diraju kako bi se izbjegle regresije u starim granama. Nisu identifikovane nikakve sumnjive promjene u starim urezima dodanim prije nego što su napravljene promjene povezane s promocijom backdoor-a. Lokalizacija po fajlova, metapodaci u tar fajlovima i arhive sa izdanjima i prevodima su proveravane odvojeno.
Promjene također uključuju uključivanje zaostalih ispravki grešaka i uklanjanje podrške za mehanizam IFUNC koji se pruža u Glibc-u za indirektne pozive funkcija, koji je korišten za organiziranje presretanja funkcija u backdoor-u. Primjećuje se da korištenje IFUNC-a samo komplikuje kod, a dobitak performansi od njega nije značajan. Kao mera predostrožnosti, XZ logo, PDF verzije man stranica i dva testa za x86 i SPARC arhitekture, koji su obrađivali objektne datoteke kao ulaz, takođe su uklonjeni iz izvornog paketa.
Među inovacijama u xzdec dekoderu, dodata je podrška za ABI verziju 4 mehanizma za izolaciju aplikacije Landlock. Opcija “--enable-doxygen” je dodana u Autotools build skripte, a parametar ENABLE_DOXYGEN je dodan u Cmake skriptu za generiranje i instalaciju dokumentacije za liblzma API koristeći Doxygen. Već generirana dokumentacija je uklonjena iz paketa.
izvor: opennet.ru
