Lasse Collin, un vechju mantenitore di u prughjettu xz chì in 2022 hà trasferitu i diritti à u novu mantene Jia Tan, chì e so attività anu purtatu à l'intruduzioni di u backdoor, hà publicatu versioni currettivi di u pacchettu XZ Utils 5.2.13, 5.4.7 è 5.6.2. XNUMX, chì sguassate cumpunenti di backdoor è altri cambiamenti sospetti aghjuntu cum'è u risultatu di l'attività maliciosa di u manutentore precedente.
Inoltre, un rapportu di rivisione hè statu publicatu nantu à u repositoriu Git è cambiamenti aghjustati da dicembre 2022 durante u mandatu di Jia Tan cum'è mantene. I cambiamenti sò analizati à u livellu di l'impegni individuali. I commits in u repository ùn sò micca firmati digitale, ma ùn ci era micca signali di tampering da parte di i committers. Un totale di 8 commits maliziusi sò stati eliminati da u repository.
U codice CRC CLMUL, chì porta à falsi pusitivi quandu verificate in MSAN (Memory sanitizer) è prublemi cù OSS Fuzz, ùn hè ancu statu eliminatu da a basa di codice. In u futuru, pensanu à ritruvà stu codice, ma per avà hè statu decisu di ùn toccu micca per evità regressioni in rami antichi. Nisun cambiamenti sospetti sò stati identificati in i vechji cummissioni aghjuntu prima chì i cambiamenti assuciati cù a prumuzione di u backdoor sò stati fatti. I fugliali po di localizazione, i metadati in i fugliali tar, è l'archivi cù versioni è traduzzioni sò stati verificati separatamente.
I cambiamenti includenu ancu l'inclusione di correzioni di bug backlogged è a rimuzione di supportu per u mecanismu IFUNC furnitu in Glibc per e chjama di funzione indiretta, chì hè stata aduprata per urganizà l'intercepzione di funzioni in u backdoor. Hè nutatu chì l'usu di IFUNC solu complica u codice, è u guadagnu di rendiment da questu ùn hè micca significativu. Comu precaution, u logò XZ, e versioni PDF di e pagine man, è duie teste per l'architetture x86 è SPARC, chì anu processatu i schedarii d'ughjettu cum'è input, sò stati ancu eliminati da u pacchettu fonte.
Trà l'innuvazioni in u decodificatore xzdec, u supportu per a versione ABI 4 di u mecanismu di isolamentu di l'applicazione Landlock hè statu aghjuntu. L'opzione "--enable-doxygen" hè stata aghjunta à i script di creazione di Autotools, è u paràmetru ENABLE_DOXYGEN hè statu aghjuntu à u script Cmake per generà è installà documentazione per l'API liblzma cù Doxygen. A documentazione dighjà generata hè stata eliminata da u pacchettu.
Source: opennet.ru
