Lasse Collin, um antigo mantenedor do projeto xz que em 2022 transferiu os direitos para o novo mantenedor Jia Tan, cujas atividades levaram à introdução do backdoor, publicou versões corretivas do pacote XZ Utils 5.2.13, 5.4.7 e 5.6.2. XNUMX, que removeu componentes backdoor e outras alterações suspeitas adicionadas como resultado de atividades maliciosas do mantenedor anterior.
Além disso, um relatório de revisão foi publicado no repositório Git e alterações adicionadas desde dezembro de 2022 durante a gestão de Jia Tan como mantenedor. As alterações são analisadas no nível de commits individuais. Os commits no repositório não foram assinados digitalmente, mas não houve sinais de adulteração por parte dos committers. Um total de 8 commits maliciosos foram removidos do repositório.
O código CRC CLMUL, que leva a falsos positivos ao fazer check-in MSAN (Memory sanitizer) e problemas com OSS Fuzz, ainda não foi removido da base de código. No futuro, eles planejam retrabalhar esse código, mas por enquanto foi decidido não mexer nele para evitar regressões em ramificações antigas. Nenhuma alteração suspeita foi identificada em commits antigos adicionados antes das alterações associadas à promoção do backdoor serem feitas. Arquivos po de localização, metadados em arquivos tar e arquivos com lançamentos e traduções foram verificados separadamente.
As mudanças também incluem a inclusão de correções de bugs pendentes e a remoção do suporte ao mecanismo IFUNC fornecido no Glibc para chamadas indiretas de funções, que era usado para organizar a interceptação de funções no backdoor. Observa-se que o uso do IFUNC apenas complica o código e o ganho de desempenho com ele não é significativo. Por precaução, o logotipo XZ, versões em PDF das páginas de manual e dois testes para as arquiteturas x86 e SPARC, que processavam arquivos objeto como entrada, também foram removidos do pacote fonte.
Entre as inovações do decodificador xzdec, foi adicionado suporte para ABI versão 4 do mecanismo de isolamento de aplicativos Landlock. A opção “--enable-doxygen” foi adicionada aos scripts de construção do Autotools, e o parâmetro ENABLE_DOXYGEN foi adicionado ao script Cmake para gerar e instalar a documentação para a API liblzma usando Doxygen. A documentação já gerada foi removida do pacote.
Fonte: opennet.ru
