Lasse Collin, dugogodišnji održavatelj xz projekta koji je predao projekt Jia Tanu 2022. godine, održavatelju čije su aktivnosti dovele do uvođenja backdoora, objavio je zakrpe za XZ Utils 5.2.13, 5.4.7 i 5.6.2 koje uklanjaju backdoor komponente i druge sumnjive promjene uvedene zlonamjernim aktivnostima prethodnog održavatelja.
Osim toga, objavljeno je izvješće o pregledu Git repozitorija i promjena dodanih od prosinca 2022. tijekom Jia Tanova mandata kao održavatelja. Promjene su analizirane na razini commita. Commiti u repozitoriju nisu bili digitalno potpisani, ali nisu pronađeni dokazi o neovlaštenom mijenjanju od strane autora commita. Ukupno osam zlonamjernih commita uklonjeno je iz repozitorija.
CLMUL CRC kod, koji uzrokuje lažno pozitivne rezultate prilikom provjere MSAN-a (Memory Sanitizer) i probleme s OSS Fuzzom, još nije uklonjen iz kodne baze. Ovaj kod je planiran za buduće revizije, ali za sada je odlučeno da se ostavi netaknutim kako bi se izbjegle regresije u starijim granama. Nisu pronađene sumnjive promjene u starijim commitima dodanim prije uvođenja promjena koje promoviraju backdoor. Provjerene su i lokalizacijske PO datoteke, metapodaci u tar datotekama i arhive koje sadrže izdanja i prijevode.
Promjene također uključuju uključivanje akumuliranih ispravaka programskih pogrešaka i uklanjanje podrške za IFUNC mehanizam koji je dostupan u Glibcu za neizravne pozive funkcija, a koji se koristio za spajanje funkcija na stražnja vrata. Napominje se da korištenje IFUNC-a samo komplicira kod i pruža malo poboljšanja performansi. Kao mjera opreza, XZ logotip, PDF verzije stranica priručnika i dva testa za x86 i SPARC arhitekture koji su obrađivali objektne datoteke kao ulaz također su uklonjeni iz distribucije izvornog koda.
Među novim značajkama, xzdec dekoder sada podržava verziju 4 mehanizma izolacije Landlock aplikacije. Opcija "--enable-doxygen" dodana je u skripte za izgradnju Autotoolsa, a parametar ENABLE_DOXYGEN dodan je u Cmake skripte za generiranje i instaliranje dokumentacije liblzma API-ja pomoću Doxygena. Postojeća dokumentacija uklonjena je iz paketa.
Izvor: opennet.ru
