Utvikler Debian og sikkerhetsforsker Andres Freund rapporterer oppdagelsen av en sannsynlig bakdør i kildekoden til xz versjon 5.6.0 og 5.6.1.
Bakdøren er linje i et av m4-skriptene, som legger til obfuskert ondsinnet kode på slutten av konfigureringsskriptet. Denne koden modifiserer deretter en av prosjektets genererte Makefiles, noe som til slutt resulterer i at ondsinnet kode (forkledd som et testarkiv bad-3-corrupt_lzma2.xz) blir introdusert i liblzma-binæren.
Det særegne ved hendelsen er at den ondsinnede koden inneholdt bare i distribuerte kildekode-tarballs og er ikke til stede i prosjektets git-repository.
Det rapporteres at personen på vegne av den ondsinnede koden ble lagt til prosjektets depot var enten direkte involvert i det som skjedde, eller var offer for et alvorlig kompromittering av sine personlige kontoer (men forskeren er tilbøyelig til det første alternativet, siden denne personen deltok personlig i flere diskusjoner knyttet til ondsinnede endringer).
I følge lenken bemerker forskeren at det endelige målet med bakdøren ser ut til å være å injisere kode i sshd-prosessen og erstatte RSA-nøkkelverifiseringskoden, og gir flere måter å indirekte sjekke om ondsinnet kode kjører på systemet ditt.
I følge en nyhetsartikkel openSUSE-prosjektet, på grunn av kompleksiteten til bakdørkoden og den antatte mekanismen for dens drift, er det vanskelig å avgjøre om den "fungerte" minst én gang på en gitt maskin, og anbefaler en fullstendig ominstallering av operativsystemet med rotasjon av alle relevante nøkler på alle maskiner som har blitt infisert med xz-versjoner minst én gang.
Kilde: linux.org.ru
