آندرس فروند، توسعهدهنده و محقق امنیتی دبیان، از کشف یک درب پشتی احتمالی در کد منبع xz نسخههای 5.6.0 و 5.6.1 خبر میدهد.
درب پشتی است خط در یکی از اسکریپت های m4، که کدهای مخرب مبهم را به انتهای اسکریپت پیکربندی اضافه می کند. این کد سپس یکی از Makefiles تولید شده پروژه را تغییر میدهد که در نهایت منجر به وارد شدن کد مخرب (مبدل به عنوان یک آرشیو آزمایشی bad-3-corrupt_lzma2.xz) به باینری liblzma میشود.
ویژگی این حادثه این است که کد مخرب موجود است تنها در tarballs کد منبع توزیع شده و در مخزن git پروژه وجود ندارد.
گزارش شده است که شخصی که از طرف او کد مخرب به مخزن پروژه اضافه شده است یا مستقیماً در اتفاقی که رخ داده درگیر بوده است یا قربانی به خطر افتادن جدی حساب های شخصی خود شده است (اما محقق به گزینه اول تمایل دارد، زیرا این شخص شخصاً در چندین بحث مرتبط با تغییرات مخرب شرکت کرد).
با توجه به پیوند، محقق اشاره می کند که به نظر می رسد هدف نهایی درپشتی تزریق کد به فرآیند sshd و جایگزینی کد تأیید کلید RSA باشد و چندین راه برای بررسی غیرمستقیم اینکه آیا کد مخرب در حال حاضر روی سیستم شما اجرا می شود ارائه می دهد.
بر اساس یک مقاله خبری پروژه openSUSE، به دلیل پیچیدگی کد درب پشتی و مکانیسم فرضی عملکرد آن، تعیین اینکه آیا حداقل یک بار در یک دستگاه خاص "کار می کند" دشوار است و نصب مجدد کامل سیستم عامل با چرخش همه کلیدهای مربوطه را توصیه می کند. تمام ماشین هایی که حداقل یک بار به نسخه های xz آلوده شده اند.
منبع: linux.org.ru