Promoteur Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.
La porte dérobée est ligne dans l'un des scripts m4, qui ajoute du code malveillant masqué à la fin du script de configuration. Ce code modifie ensuite l'un des Makefiles générés par le projet, ce qui aboutit finalement à l'introduction d'un code malveillant (déguisé en archive de test bad-3-corrupt_lzma2.xz) dans le binaire liblzma.
La particularité de l'incident est que le code malveillant contenu seulement dans les archives tar du code source distribué et n'est pas présent dans le référentiel git du projet.
Il est rapporté que la personne au nom de laquelle le code malveillant a été ajouté au référentiel du projet était soit directement impliquée dans ce qui s'est passé, soit victime d'une grave compromission de ses comptes personnels (mais le chercheur est enclin à la première option, car cette personne a personnellement participé à plusieurs discussions associées à des modifications malveillantes).
Selon le lien, le chercheur note que le but ultime de la porte dérobée semble être d'injecter du code dans le processus sshd et de remplacer le code de vérification de la clé RSA, et propose plusieurs façons de vérifier indirectement si un code malveillant est actuellement en cours d'exécution sur votre système.
D'après un article de presse projet openSUSE, en raison de la complexité du code de la porte dérobée et du mécanisme supposé de son fonctionnement, il est difficile de déterminer s'il a « fonctionné » au moins une fois sur une machine donnée, et recommande une réinstallation complète du système d'exploitation avec rotation de toutes les clés concernées sur toutes les machines qui ont été infectées par les versions xz au moins une fois.
Source: linux.org.ru
