Debianin kehittäjä ja tietoturvatutkija Andres Freund raportoi mahdollisen takaoven löytämisestä xz-versioiden 5.6.0 ja 5.6.1 lähdekoodissa.
Takaovi on rivi jossakin m4-skriptissä, joka liittää haitallisen koodin määrityskomentosarjan loppuun. Tämä koodi muokkaa sitten yhtä projektin luomista Makefileistä, mikä lopulta johtaa haitallisen koodin (naamioituna testiarkistoksi bad-3-corrupt_lzma2.xz) liblzma-binaariin.
Tapahtuman erikoisuus on, että haitallinen koodi sisälsi vain hajautetuissa lähdekoodin tarballissa, eikä sitä ole projektin git-arkistossa.
On raportoitu, että henkilö, jonka puolesta haitallinen koodi lisättiin projektin arkistoon, oli joko suoraan osallisena tapahtuneessa tai oli hänen henkilökohtaisten tiliensä vakavan vaarantumisen uhri (mutta tutkija on taipuvainen ensimmäiseen vaihtoehtoon, koska tämä henkilö osallistui henkilökohtaisesti useisiin haitallisiin muutoksiin liittyviin keskusteluihin).
Linkin mukaan tutkija huomauttaa, että takaoven perimmäinen tavoite näyttää olevan koodin syöttäminen sshd-prosessiin ja RSA-avaimen vahvistuskoodin korvaaminen, ja tarjoaa useita tapoja tarkistaa epäsuorasti, onko järjestelmässäsi tällä hetkellä käynnissä haitallista koodia.
Uutisartikkelin mukaan openSUSE-projekti, takaoven koodin monimutkaisuuden ja sen oletetun toimintamekanismin vuoksi on vaikea määrittää, "toimiiko se" ainakin kerran tietyssä koneessa, ja suosittelee käyttöjärjestelmän täydellistä uudelleenasentamista pyörittämällä kaikkia asiaankuuluvia avaimia. kaikki koneet, jotka ovat saaneet xz-version vähintään kerran.
Lähde: linux.org.ru