Andres Freund นักพัฒนา Debian และนักวิจัยด้านความปลอดภัยรายงานการค้นพบแบ็คดอร์ที่เป็นไปได้ในซอร์สโค้ดของ xz เวอร์ชัน 5.6.0 และ 5.6.1
ประตูหลังคือ บรรทัดหนึ่งในสคริปต์ m4ซึ่งจะต่อท้ายโค้ดที่เป็นอันตรายที่สร้างความสับสนต่อท้ายสคริปต์กำหนดค่า จากนั้นโค้ดนี้จะแก้ไขหนึ่งใน Makefiles ที่สร้างขึ้นของโปรเจ็กต์ ซึ่งท้ายที่สุดแล้วส่งผลให้โค้ดที่เป็นอันตราย (ปลอมตัวเป็นไฟล์เก็บถาวรทดสอบ bad-3-corrupt_lzma2.xz) ถูกนำเข้าสู่ไบนารี liblzma
ลักษณะเฉพาะของเหตุการณ์คือมีโค้ดที่เป็นอันตรายอยู่ เท่านั้น ใน tarballs ซอร์สโค้ดแบบกระจายและไม่มีอยู่ในที่เก็บ git ของโปรเจ็กต์
มีรายงานว่าบุคคลที่เพิ่มโค้ดที่เป็นอันตรายลงในที่เก็บของโครงการในนามของบุคคลที่เกี่ยวข้องโดยตรงในสิ่งที่เกิดขึ้นหรือเป็นเหยื่อของการประนีประนอมอย่างร้ายแรงต่อบัญชีส่วนตัวของเขา (แต่ผู้วิจัยมีแนวโน้มที่จะเลือกตัวเลือกแรก เนื่องจาก บุคคลนี้เข้าร่วมเป็นการส่วนตัวในการสนทนาหลายครั้งที่เกี่ยวข้องกับการเปลี่ยนแปลงที่เป็นอันตราย)
ตามลิงก์ นักวิจัยตั้งข้อสังเกตว่าเป้าหมายสูงสุดของแบ็คดอร์ดูเหมือนจะเป็นการแทรกโค้ดลงในกระบวนการ sshd และแทนที่รหัสยืนยันคีย์ RSA และมีหลายวิธีในการตรวจสอบทางอ้อมว่าโค้ดที่เป็นอันตรายกำลังทำงานอยู่ในระบบของคุณหรือไม่
ตามบทความข่าว โครงการ openSUSEเนื่องจากความซับซ้อนของโค้ดแบ็คดอร์และกลไกการทำงานของมัน จึงเป็นการยากที่จะตัดสินว่าโค้ดนั้น “ทำงาน” อย่างน้อยหนึ่งครั้งบนเครื่องที่กำหนดหรือไม่ และแนะนำให้ติดตั้งระบบปฏิบัติการใหม่ทั้งหมดโดยการหมุนคีย์ที่เกี่ยวข้องทั้งหมดบน ทุกเครื่องที่ติดเวอร์ชัน xz อย่างน้อยหนึ่งครั้ง
ที่มา: linux.org.ru