Инвеститорот Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.
Задната врата е линија во една од скриптите m4, кој додава заматен злонамерен код на крајот од скриптата за конфигурирање. Овој код потоа менува една од генерираните Makefiles на проектот, што на крајот резултира со внесување на злонамерен код (преправен како тест архива bad-3-corrupt_lzma2.xz) во бинарната датотека liblzma.
Особеноста на инцидентот е што злонамерниот код содржел само во дистрибуирани изворни кодови tarball и не е присутен во git складиштето на проектот.
Се известува дека лицето во чие име е додаден злонамерниот код во складиштето на проектот или било директно вклучено во она што се случило или било жртва на сериозен компромис на неговите лични сметки (но истражувачот е наклонет кон првата опција, бидејќи ова лице лично учествувало во неколку дискусии поврзани со малициозни промени).
Според врската, истражувачот забележува дека се чини дека крајната цел на задна врата е да внесе код во процесот sshd и да го замени кодот за верификација на клучот RSA, и дава неколку начини за индиректно да проверите дали злонамерниот код моментално работи на вашиот систем.
Според написот во вестите openSUSE проект, поради сложеноста на кодот на задна врата и наводниот механизам на неговото функционирање, тешко е да се одреди дали тој „работел“ барем еднаш на дадена машина и препорачува целосна реинсталација на ОС со ротирање на сите релевантни клучеви на сите машини кои биле инфицирани со xz верзии барем еднаш.
Извор: linux.org.ru
