Programuotojas Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.
Užpakalinės durys yra eilutė viename iš m4 scenarijų, kuri konfigūravimo scenarijaus pabaigoje prideda užmaskuotą kenkėjišką kodą. Tada šis kodas modifikuoja vieną iš projekto sugeneruotų Makefiles, dėl kurių galiausiai į liblzma dvejetainį failą įvedamas kenkėjiškas kodas (užmaskuotas kaip bandomasis archyvas bad-3-corrupt_lzma2.xz).
Įvykio ypatumas yra tas, kad jame buvo kenkėjiškas kodas tik paskirstytoje šaltinio kodo tarballuose ir jo nėra projekto git saugykloje.
Pranešama, kad asmuo, kurio vardu kenkėjiškas kodas buvo įtrauktas į projekto saugyklą, buvo arba tiesiogiai susijęs su tuo, kas nutiko, arba buvo rimto savo asmeninių paskyrų sukompromitavimo auka (tačiau tyrėjas yra linkęs į pirmąjį variantą, nes šis asmuo asmeniškai dalyvavo keliose diskusijose, susijusiose su kenkėjiškais pakeitimais).
Remiantis nuoroda, mokslininkas pažymi, kad galutinis užpakalinių durų tikslas yra įvesti kodą į sshd procesą ir pakeisti RSA rakto patvirtinimo kodą, taip pat pateikia keletą būdų, kaip netiesiogiai patikrinti, ar jūsų sistemoje šiuo metu neveikia kenkėjiškas kodas.
Pagal naujienų straipsnį openSUSE projektas, dėl užpakalinių durų kodo sudėtingumo ir tariamo jo veikimo mechanizmo sunku nustatyti, ar jis bent kartą „veikė“ tam tikrame kompiuteryje, todėl rekomenduojama visiškai iš naujo įdiegti OS sukant visus atitinkamus klavišus. visos mašinos, kurios bent kartą buvo užkrėstos xz versijomis.
Šaltinis: linux.org.ru
