Dezvoltatorul Debian și cercetătorul de securitate Andres Freund raportează descoperirea unei posibile uși în spate în codul sursă al versiunilor xz 5.6.0 și 5.6.1.
Ușa din spate este linie într-unul dintre scripturile m4, care adaugă cod rău intenționat la sfârșitul scriptului de configurare. Acest cod modifică apoi unul dintre fișierele Makefile generate de proiect, ceea ce are ca rezultat introducerea codului rău intenționat (deghizat ca o arhivă de testare bad-3-corrupt_lzma2.xz) în binarul liblzma.
Particularitatea incidentului este că codul rău intenționat conținut numai în tarball-uri de cod sursă distribuite și nu este prezent în depozitul git al proiectului.
Se raportează că persoana în numele căreia codul rău intenționat a fost adăugat în depozitul proiectului a fost fie direct implicată în ceea ce s-a întâmplat, fie a fost victima unui compromis grav al conturilor sale personale (dar cercetătorul este înclinat către prima variantă, deoarece această persoană a participat personal la mai multe discuții asociate cu modificări rău intenționate).
Potrivit link-ului, cercetătorul observă că scopul final al ușii din spate pare să fie injectarea codului în procesul sshd și înlocuirea codului de verificare a cheii RSA și oferă mai multe modalități de a verifica indirect dacă codul rău intenționat rulează în prezent pe sistemul dumneavoastră.
Potrivit unui articol de știri proiectul openSUSE, din cauza complexității codului ușii din spate și a presupusului mecanism de funcționare a acestuia, este dificil să se determine dacă a „funcționat” cel puțin o dată pe o anumită mașină și recomandă o reinstalare completă a sistemului de operare cu rotirea tuturor tastelor relevante pe toate mașinile care au fost infectate cu versiunile xz cel puțin o dată.
Sursa: linux.org.ru