Sa pagbabalik-tanaw sa backdoor na promosyon sa xz package

ΠŸΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ бэкдор Π² ΠΏΠ°ΠΊΠ΅Ρ‚ xz Π±Ρ‹Π» Π²Π½Π΅Π΄Ρ€Ρ‘Π½ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠΌ Jia Tan, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π² 2022 Π³ΠΎΠ΄Ρƒ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠ» статус ΡΠΎΠΏΡ€ΠΎΠ²ΠΎΠΆΠ΄Π°ΡŽΡ‰Π΅Π³ΠΎ ΠΈ выпускал Ρ€Π΅Π»ΠΈΠ·Ρ‹ начиная с вСрсии 5.4.2. Помимо ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° xz ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π΅ΠΌΡ‹ΠΉ Π°Π²Ρ‚ΠΎΡ€ бэкдора Ρ‚Π°ΠΊΠΆΠ΅ участвовал Π² Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² xz-java ΠΈ xz-embedded, ΠΈ Π±Ρ‹Π» Π²ΠΊΠ»ΡŽΡ‡Ρ‘Π½ Π² число мэйнтСйнСров ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° XZ Embedded, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠ³ΠΎ Π² ядрС Linux.

Dalawa pang kalahok, sina Jigar Kumar at Hans Jansen, na lumilitaw na mga virtual na karakter, ay nasangkot din sa backdoor promotion. Noong Abril 2022, itinaguyod ni Jigar Kumar ang pagtanggap sa mga unang patch ni Jia Tan sa xz, na nagpapatupad ng suporta para sa mga filter ng string, at nagdulot ng moral na pressure kay Lasse Collin, ang tagapangasiwa noon, na pinupuna siya sa kanyang kawalan ng kakayahan na gampanan ang kanyang mga tungkulin at hindi pagtanggap ng mga kapaki-pakinabang na patch. Noong Hunyo, sumang-ayon si Lasse Collin na ang proyekto ay nangangailangan ng bagong maintainer, nagrereklamo ng burnout at mga isyu sa kalusugan ng isip, at ibinigay ang tungkulin ng maintainer kay Jia Tan. Pagkatapos nito, hindi na lumabas sa mailing list si Jigar Kumar.

Pagkatapos maging isang maintainer, nagsimulang aktibong mag-ambag si Jia Tan ng mga pagbabago sa proyekto, at ayon sa mga istatistika, sa loob ng dalawang taon, siya ang naging pangalawang pinakamalaking kontribyutor. Noong Marso 2023, si Lasse Collin, ang taong responsable sa pagsubok ng xz package sa oss-fuzz service, ay pinalitan ni Jia Tan. Noong Hunyo, tinanggap ang mga pagbabago sa xz na nagdagdag ng suporta para sa mekanismo ng IFUNC sa liblzma (ang crc64_fast constructor ay pinalitan ng ifunc), na kalaunan ay ginamit upang ipatupad ang function hooking sa backdoor. Ang pagbabago ay iminungkahi ni Hans Jansen, at tinanggap ito ni Jia Tan sa xz. Ang account ni Hans Jansen ay ginawa kaagad bago isinumite ang pull request.

Noong Hulyo 2023, nagpadala si Jia Tan ng kahilingan sa mga developer ng oss-fuzz na i-disable ang ifunc check dahil sa hindi pagkakatugma nito sa "-fsanitize=address" mode. Noong unang bahagi ng Pebrero 2024, ang link sa website ng proyekto sa oss-fuzz at sa tukaani.org homepage ay binago mula sa "tukaani.org/xz/" patungong "xz.tukaani.org," kung saan ang "xz.tukaani.org" na subdomain ay na-host sa GitHub Pages at personal na kinokontrol ni Jia Tan. Noong Pebrero 23, ang mga archive para sa pagsubok sa decoder ay nai-post sa xz repository, kasama ang mga file na bad-3-corrupt_lzma2.xz at good-large_compressed.lzma, na naglalaman ng nakatagong backdoor. Ang mga M4 macro para sa pag-activate ng backdoor ay kasama lang sa tarball na may 5.6.0 release at hindi kasama sa Git repository, ngunit makikita sa .gitignore file.

17 ΠΌΠ°Ρ€Ρ‚Π° Hans Jansen, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π²ΡˆΠΈΠΉ Ρ€Π°Π½Π΅Π΅ ΠΏΠ°Ρ‚Ρ‡ΠΈ с ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΎΠΉ IFUNC, Π±Ρ‹Π» зарСгистрирован Π² качСствС участника ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° Debian, Π° 25 ΠΌΠ°Ρ€Ρ‚Π° ΠΈΠΌ Π±Ρ‹Π» ΠΎΡ‚ΠΏΡ€Π°Π²Π»Π΅Π½ запрос Π½Π° ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ вСрсии ΠΏΠ°ΠΊΠ΅Ρ‚Π° xz-utils Π² Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΈ Debian. Запросы Π½Π° ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ вСрсии Ρ‚Π°ΠΊΠΆΠ΅ поступили Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌ Fedora ΠΈ Ubuntu (sa Ubuntu Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΉ Π±Ρ‹Π» Π½Π° стадии Π·Π°ΠΌΠΎΡ€ΠΎΠ·ΠΊΠΈ ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Π±Ρ‹Π»ΠΎ ΠΎΡ‚ΠΊΠ»ΠΎΠ½Π΅Π½ΠΎ).

Ang ilang mga user ay sumali din sa mga tawag para sa isang xz update, na sinasabing ang bagong bersyon ay nag-ayos ng mga nakakasagabal na pag-crash na nakita sa panahon ng pag-debug sa valgrind (ang mga isyu ay lumitaw dahil sa hindi tamang pag-detect ng layout ng stack sa backdoor handler, na natugunan ng mga developer ng backdoor sa xz 5.6.1). Si Andres Freund, isang empleyado ng Microsoft na kasangkot sa pag-unlad ng PostgreSQL, ay nagpahayag din ng interes sa pag-crash, pagkilala sa backdoor at pag-alerto sa komunidad.

Pinagmulan: opennet.ru

Bumili ng maaasahang pagho-host para sa mga site na may proteksyon ng DDoS, mga server ng VPS VDS πŸ”₯ Bumili ng maaasahang website hosting na may proteksyon ng DDoS, VPS VDS servers | ProHoster