ผู้พัฒนา Debian และนักวิจัยด้านความปลอดภัย Andres Freund รายงานการค้นพบช่องโหว่ที่อาจเป็นแบ็กดอร์ในซอร์สโค้ดของ xz เวอร์ชัน 5.6.0 และ 5.6.1
ประตูหลังคือ บรรทัดหนึ่งในสคริปต์ m4ซึ่งจะผนวกโค้ดอันตรายที่ซ่อนไว้ต่อท้ายสคริปต์ configure จากนั้นโค้ดนี้จะแก้ไข Makefile ที่สร้างขึ้นโดยโครงการหนึ่ง จนในที่สุดก็แทรกโค้ดอันตราย (ปลอมตัวเป็นไฟล์ทดสอบ bad-3-corrupt_lzma2.xz) เข้าไปในไบนารี liblzma
ความแปลกประหลาดของเหตุการณ์นี้คือมีโค้ดที่เป็นอันตรายอยู่ เท่านั้น ในไฟล์ tarball ที่กระจายพร้อมกับโค้ดต้นฉบับและไม่มีอยู่ในที่เก็บ git ของโครงการ
บุคคลที่เพิ่มโค้ดที่เป็นอันตรายไปยังที่เก็บของโครงการในนามของเขา มีรายงานว่ามีส่วนเกี่ยวข้องโดยตรงกับเหตุการณ์ดังกล่าว หรืออาจได้รับผลกระทบจากการบุกรุกบัญชีส่วนตัวอย่างร้ายแรง (แม้ว่านักวิจัยจะเอนเอียงไปทางตัวเลือกแรก เนื่องจากบุคคลนี้มีส่วนเกี่ยวข้องโดยตรงในการอภิปรายหลายครั้งที่เกี่ยวข้องกับการเปลี่ยนแปลงที่เป็นอันตราย)
ในลิงก์นี้ นักวิจัยสังเกตว่าเป้าหมายสูงสุดของแบ็กดอร์ดูเหมือนว่าจะเป็นการใส่โค้ดลงในกระบวนการ sshd และแทนที่โค้ดยืนยันคีย์ RSA และยังมีวิธีการหลายวิธีในการตรวจสอบทางอ้อมว่าโค้ดที่เป็นอันตรายกำลังทำงานอยู่บนระบบของคุณหรือไม่
ตามบทความข่าว โครงการ openSUSEเนื่องจากความซับซ้อนของโค้ดแบ็คดอร์และกลไกที่สันนิษฐานว่าใช้ในการโจมตี ทำให้ยากที่จะระบุว่าโค้ดดังกล่าว "ได้ผล" อย่างน้อยหนึ่งครั้งบนเครื่องใดเครื่องหนึ่งหรือไม่ และแนะนำให้ติดตั้งระบบปฏิบัติการใหม่ทั้งหมดพร้อมหมุนเวียนคีย์ที่เกี่ยวข้องทั้งหมดบนเครื่องทุกเครื่องที่ติดไวรัสเวอร์ชัน xz อย่างน้อยหนึ่งครั้ง
ที่มา: linux.org.ru
