Retrospektif promosi backdoor menyang paket xz

Backdoor ing paket xz konon dikenalake dening pangembang Jia Tan, sing dadi pengelola ing taun 2022 lan wis ngrilis versi wiwit versi 5.4.2. Saliyane proyek xz, sing diduga dadi penulis backdoor uga nyumbang kanggo paket xz-java lan xz-embedded lan kalebu ing antarane pengelola proyek XZ Embedded, sing digunakake ing kernel. Linux.

Loro peserta liyane uga katon ngatur promosi lawang mburi - Jigar Kumar lan Hans Jansen, sing, ketoke, minangka karakter virtual. Jigar Kumar ing April 2022 promosiake adopsi patch Jia Tan awal menyang xz kanggo ngetrapake dhukungan kanggo saringan senar lan menehi tekanan moral marang Lasse Collin, sing banjur njaga, ngritik dheweke ora bisa nindakake tanggung jawab lan ora nampa patch sing migunani. Ing wulan Juni, Lasse Collin sarujuk yen proyek kasebut mbutuhake pangopènan anyar, prihatin babagan masalah kesehatan lan kesehatan mental, lan nyerahake peran pemelihara marang Jia Tan. Sawise iki, pangguna Jigar Kumar ora katon maneh ing milis.

Sawise nampa hak pangopènan, Jia Tan wiwit aktif nambah owah-owahan ing project lan, miturut statistik, liwat rong taun njupuk Panggonan liya antarane pangembang ing syarat-syarat nomer owah-owahan. Ing Maret 2023, wong sing tanggung jawab kanggo nguji paket xz ing layanan oss-fuzz diganti saka Lasse Collin dening Jia Tan, lan ing wulan Juni owah-owahan digawe ing komposisi xz sing nambah dhukungan kanggo mekanisme IFUNC menyang liblzma (konstruktor crc64_fast. diganti dening ifunc), sing banjur digunakake kanggo ngatur interception fungsi ing backdoor. Pangowahan kasebut disaranake dening Hans Jansen, lan Jia Tan nampa dheweke dadi xz. Akun Hans Jansen digawe langsung sadurunge ngirim panjalukan narik.

Ing Juli 2023, Jia Tan ngirim panjaluk menyang pangembang oss-fuzz kanggo mateni pamriksa ifunc amarga ora cocog karo mode "-fsanitize=address". Ing awal Februari 2024, pranala menyang situs web proyek ing oss-fuzz lan ing kaca utama tukaani.org diganti saka "tukaani.org/xz/" dadi "xz.tukaani.org", ing ngendi subdomain " xz.tukaani.org” ana ing layanan GitHub Pages lan diawasi kanthi pribadi dening Jia Tan. Tanggal 23 Februari, arsip kanggo nguji dekoder dikirim ing repositori xz, ing antarane yaiku file bad-3-corrupt_lzma2.xz lan good-large_compressed.lzma kanthi lawang mburi sing didhelikake. M4 macro kanggo ngaktifake backdoor mung klebu ing tarball release 5.6.0 lan dipun tilar saka panyimpenan Git, nanging katon ing file .gitignore.

Ing tanggal 17 Maret, Hans Jansen, sing sadurunge wis ngembangake patch sing ndhukung IFUNC, kadhaptar minangka peserta proyek. Debian, lan tanggal 25 Maret, dheweke dikirimi panjalukan kanggo nganyari versi paket xz-utils ing repositori DebianPanjaluk nganyari versi uga wis ditampa dening para pangembang Fedora lan Ubuntu (ing Ubuntu repositori kasebut dibekukan lan owah-owahan kasebut ditolak).

Panjalukan kanggo nganyari versi xz uga digabung karo sawetara pangguna, sing nyatakake yen versi anyar ngilangi kewan omo sing ngganggu karya, dideteksi nalika debugging ing valgrind (masalah muncul amarga penentuan tata tumpukan sing salah ing handler backdoor, lan pangembang backdoor nyoba kanggo ngilangke masalah iki ing versi xz 5.6.1 .XNUMX). Uga kasengsem ing kesalahan kasebut yaiku Andres Freund, karyawan Microsoft sing melu pangembangan PostgreSQL, sing nemtokake anane lawang mburi lan menehi kabar marang komunitas babagan iki.

Source: opennet.ru

Tuku hosting sing dipercaya kanggo situs kanthi proteksi DDoS, server VPS VDS πŸ”₯ Tuku hosting situs web sing bisa dipercaya nganggo proteksi DDoS, server VPS VDS | ProHoster