Debian developer and security researcher Andres Freund informa a scuperta di una pussibuli backdoor in u codice fonte di xz versioni 5.6.0 è 5.6.1.
A backdoor hè linea in unu di i script m4, chì aghjunghje un codice maliziusu offuscatu à a fine di u script di cunfigurazione. Stu codice poi mudifica unu di i Makefiles generati da u prughjettu, chì in ultimamente risultatu in u codice maliziusu (disguised cum'è un archiviu di teste bad-3-corrupt_lzma2.xz) esse introduttu in u binariu liblzma.
A peculiarità di l'incidentu hè chì u codice maliziusu cuntene solu in tarballs di codice fonte distribuitu è ùn hè micca presente in u repository git di u prugettu.
Hè infurmatu chì a persona per quale u codice malicious hè aghjuntu à u repository di u prugettu era o direttamente implicata in ciò chì hè accadutu, o hè stata vittima di un seriu cumprumissu di i so cunti persunali (ma u ricercatore hè inclinatu à a prima opzione, postu chì sta persona hà participatu personalmente in parechje discussioni assuciate cù cambiamenti maliziusi).
Sicondu u ligame, l'investigatore nota chì l'ultimu scopu di u backdoor pare esse di inject code in u prucessu sshd è rimpiazzà u codice di verificazione di chjave RSA, è furnisce parechje manere di verificà indirettamente se u codice maliziusu hè attualmente in esecuzione in u vostru sistema.
Sicondu un articulu di nutizia prughjettu openSUSE, à causa di a cumplessità di u codice backdoor è u suppostu mecanismu di u so funziunamentu, hè difficiule di determinà s'ellu "funzionava" almenu una volta in una determinata macchina, è ricumandemu una reinstallazione cumpleta di u SO cù a rotazione di tutte e chjave pertinenti nantu à tutte e macchine chì sò stati infettati cù versioni xz almenu una volta.
Source: linux.org.ru