Lo sviluppatore Debian e ricercatore sulla sicurezza Andres Freund segnala la scoperta di una possibile backdoor nel codice sorgente delle versioni xz 5.6.0 e 5.6.1.
La porta sul retro è riga in uno degli script m4, che aggiunge codice dannoso offuscato alla fine dello script di configurazione. Questo codice modifica quindi uno dei Makefile generati dal progetto, che alla fine si traduce in un codice dannoso (camuffato da archivio di test bad-3-corrupt_lzma2.xz) introdotto nel binario liblzma.
La particolarità dell'incidente è che il codice dannoso conteneva solo nei tarball del codice sorgente distribuito e non è presente nel repository git del progetto.
È stato riferito che la persona per conto della quale il codice dannoso è stato aggiunto al repository del progetto è stata direttamente coinvolta nell'accaduto, oppure è stata vittima di una grave compromissione dei suoi account personali (ma il ricercatore è propenso alla prima opzione, poiché questa persona ha partecipato personalmente a diverse discussioni associate a modifiche dannose).
Secondo il collegamento, il ricercatore nota che l'obiettivo finale della backdoor sembra essere quello di inserire codice nel processo sshd e sostituire il codice di verifica della chiave RSA e fornisce diversi modi per verificare indirettamente se sul sistema è attualmente in esecuzione codice dannoso.
Secondo un articolo di giornale progetto openSUSE, a causa della complessità del codice backdoor e del presunto meccanismo del suo funzionamento, è difficile determinare se ha "funzionato" almeno una volta su una determinata macchina e consiglia una reinstallazione completa del sistema operativo con rotazione di tutti i tasti rilevanti su tutte le macchine che sono state infettate dalle versioni xz almeno una volta.
Fonte: linux.org.ru