Debian verktaki og öryggisrannsakandi Andres Freund greinir frá uppgötvun á hugsanlegri bakdyrum í frumkóða xz útgáfur 5.6.0 og 5.6.1.
Bakdyrnar eru línu í einu af m4 skriftunum, sem bætir óljósum skaðlegum kóða við lok stillingarforskriftarinnar. Þessi kóði breytir síðan einni af mynduðum Makefiles verkefnisins, sem á endanum leiðir til þess að illgjarn kóða (dulbúinn sem prufuskjalasafn bad-3-corrupt_lzma2.xz) er settur inn í liblzma tvöfaldann.
Sérkenni atviksins er að illgjarn kóðinn innihélt aðeins í dreifðum frumkóða tarballs og er ekki til staðar í git geymslu verkefnisins.
Það er greint frá því að sá sem illgjarn kóðinn var bættur við geymslu verkefnisins fyrir hönd hans hafi annaðhvort átt beinan þátt í því sem gerðist eða var fórnarlamb alvarlegrar málamiðlunar á persónulegum reikningum sínum (en rannsakandinn hallast að fyrsta valkostinum, þar sem þessi manneskja tók persónulega þátt í nokkrum umræðum í tengslum við illgjarnar breytingar).
Samkvæmt hlekknum tekur rannsakandinn fram að lokamarkmið bakdyranna virðist vera að dæla kóða inn í sshd ferlið og skipta um RSA lykilstaðfestingarkóðann og veitir nokkrar leiðir til að athuga óbeint hvort illgjarn kóða sé í gangi á kerfinu þínu.
Samkvæmt frétt openSUSE verkefni, vegna þess hversu flókið bakdyrakóðinn er og ætlaður gangverki hans er erfitt að ákvarða hvort hann hafi „virkað“ að minnsta kosti einu sinni á tiltekinni vél og mælir með algjörri enduruppsetningu stýrikerfisins með snúningi á öllum viðeigandi lyklum á allar vélar sem hafa verið sýktar af xz útgáfum að minnsta kosti einu sinni.
Heimild: linux.org.ru