ΠΡΠ΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡΠ΅Π»ΡΠ½ΠΎ Π±ΡΠΊΠ΄ΠΎΡ Π² ΠΏΠ°ΠΊΠ΅Ρ xz Π±ΡΠ» Π²Π½Π΅Π΄ΡΡΠ½ ΡΠ°Π·ΡΠ°Π±ΠΎΡΡΠΈΠΊΠΎΠΌ Jia Tan, ΠΊΠΎΡΠΎΡΡΠΉ Π² 2022 Π³ΠΎΠ΄Ρ ΠΏΠΎΠ»ΡΡΠΈΠ» ΡΡΠ°ΡΡΡ ΡΠΎΠΏΡΠΎΠ²ΠΎΠΆΠ΄Π°ΡΡΠ΅Π³ΠΎ ΠΈ Π²ΡΠΏΡΡΠΊΠ°Π» ΡΠ΅Π»ΠΈΠ·Ρ Π½Π°ΡΠΈΠ½Π°Ρ Ρ Π²Π΅ΡΡΠΈΠΈ 5.4.2. ΠΠΎΠΌΠΈΠΌΠΎ ΠΏΡΠΎΠ΅ΠΊΡΠ° xz ΠΏΡΠ΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π΅ΠΌΡΠΉ Π°Π²ΡΠΎΡ Π±ΡΠΊΠ΄ΠΎΡΠ° ΡΠ°ΠΊΠΆΠ΅ ΡΡΠ°ΡΡΠ²ΠΎΠ²Π°Π» Π² ΡΠ°Π·ΡΠ°Π±ΠΎΡΠΊΠ΅ ΠΏΠ°ΠΊΠ΅ΡΠΎΠ² xz-java ΠΈ xz-embedded, ΠΈ Π±ΡΠ» Π²ΠΊΠ»ΡΡΡΠ½ Π² ΡΠΈΡΠ»ΠΎ ΠΌΡΠΉΠ½ΡΠ΅ΠΉΠ½Π΅ΡΠΎΠ² ΠΏΡΠΎΠ΅ΠΊΡΠ° XZ Embedded, ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΠΎΠ³ΠΎ Π² ΡΠ΄ΡΠ΅ Linux.
Dalawa pang kalahok, sina Jigar Kumar at Hans Jansen, na lumilitaw na mga virtual na karakter, ay nasangkot din sa backdoor promotion. Noong Abril 2022, itinaguyod ni Jigar Kumar ang pagtanggap sa mga unang patch ni Jia Tan sa xz, na nagpapatupad ng suporta para sa mga filter ng string, at nagdulot ng moral na pressure kay Lasse Collin, ang tagapangasiwa noon, na pinupuna siya sa kanyang kawalan ng kakayahan na gampanan ang kanyang mga tungkulin at hindi pagtanggap ng mga kapaki-pakinabang na patch. Noong Hunyo, sumang-ayon si Lasse Collin na ang proyekto ay nangangailangan ng bagong maintainer, nagrereklamo ng burnout at mga isyu sa kalusugan ng isip, at ibinigay ang tungkulin ng maintainer kay Jia Tan. Pagkatapos nito, hindi na lumabas sa mailing list si Jigar Kumar.
Pagkatapos maging isang maintainer, nagsimulang aktibong mag-ambag si Jia Tan ng mga pagbabago sa proyekto, at ayon sa mga istatistika, sa loob ng dalawang taon, siya ang naging pangalawang pinakamalaking kontribyutor. Noong Marso 2023, si Lasse Collin, ang taong responsable sa pagsubok ng xz package sa oss-fuzz service, ay pinalitan ni Jia Tan. Noong Hunyo, tinanggap ang mga pagbabago sa xz na nagdagdag ng suporta para sa mekanismo ng IFUNC sa liblzma (ang crc64_fast constructor ay pinalitan ng ifunc), na kalaunan ay ginamit upang ipatupad ang function hooking sa backdoor. Ang pagbabago ay iminungkahi ni Hans Jansen, at tinanggap ito ni Jia Tan sa xz. Ang account ni Hans Jansen ay ginawa kaagad bago isinumite ang pull request.
Noong Hulyo 2023, nagpadala si Jia Tan ng kahilingan sa mga developer ng oss-fuzz na i-disable ang ifunc check dahil sa hindi pagkakatugma nito sa "-fsanitize=address" mode. Noong unang bahagi ng Pebrero 2024, ang link sa website ng proyekto sa oss-fuzz at sa tukaani.org homepage ay binago mula sa "tukaani.org/xz/" patungong "xz.tukaani.org," kung saan ang "xz.tukaani.org" na subdomain ay na-host sa GitHub Pages at personal na kinokontrol ni Jia Tan. Noong Pebrero 23, ang mga archive para sa pagsubok sa decoder ay nai-post sa xz repository, kasama ang mga file na bad-3-corrupt_lzma2.xz at good-large_compressed.lzma, na naglalaman ng nakatagong backdoor. Ang mga M4 macro para sa pag-activate ng backdoor ay kasama lang sa tarball na may 5.6.0 release at hindi kasama sa Git repository, ngunit makikita sa .gitignore file.
17 ΠΌΠ°ΡΡΠ° Hans Jansen, ΡΠ°Π·ΡΠ°Π±ΠΎΡΠ°Π²ΡΠΈΠΉ ΡΠ°Π½Π΅Π΅ ΠΏΠ°ΡΡΠΈ Ρ ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΊΠΎΠΉ IFUNC, Π±ΡΠ» Π·Π°ΡΠ΅Π³ΠΈΡΡΡΠΈΡΠΎΠ²Π°Π½ Π² ΠΊΠ°ΡΠ΅ΡΡΠ²Π΅ ΡΡΠ°ΡΡΠ½ΠΈΠΊΠ° ΠΏΡΠΎΠ΅ΠΊΡΠ° Debian, Π° 25 ΠΌΠ°ΡΡΠ° ΠΈΠΌ Π±ΡΠ» ΠΎΡΠΏΡΠ°Π²Π»Π΅Π½ Π·Π°ΠΏΡΠΎΡ Π½Π° ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ Π²Π΅ΡΡΠΈΠΈ ΠΏΠ°ΠΊΠ΅ΡΠ° xz-utils Π² ΡΠ΅ΠΏΠΎΠ·ΠΈΡΠΎΡΠΈΠΈ Debian. ΠΠ°ΠΏΡΠΎΡΡ Π½Π° ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ Π²Π΅ΡΡΠΈΠΈ ΡΠ°ΠΊΠΆΠ΅ ΠΏΠΎΡΡΡΠΏΠΈΠ»ΠΈ ΡΠ°Π·ΡΠ°Π±ΠΎΡΡΠΈΠΊΠ°ΠΌ Fedora ΠΈ Ubuntu (sa Ubuntu ΡΠ΅ΠΏΠΎΠ·ΠΈΡΠΎΡΠΈΠΉ Π±ΡΠ» Π½Π° ΡΡΠ°Π΄ΠΈΠΈ Π·Π°ΠΌΠΎΡΠΎΠ·ΠΊΠΈ ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ Π±ΡΠ»ΠΎ ΠΎΡΠΊΠ»ΠΎΠ½Π΅Π½ΠΎ).
Ang ilang mga user ay sumali din sa mga tawag para sa isang xz update, na sinasabing ang bagong bersyon ay nag-ayos ng mga nakakasagabal na pag-crash na nakita sa panahon ng pag-debug sa valgrind (ang mga isyu ay lumitaw dahil sa hindi tamang pag-detect ng layout ng stack sa backdoor handler, na natugunan ng mga developer ng backdoor sa xz 5.6.1). Si Andres Freund, isang empleyado ng Microsoft na kasangkot sa pag-unlad ng PostgreSQL, ay nagpahayag din ng interes sa pag-crash, pagkilala sa backdoor at pag-alerto sa komunidad.
Pinagmulan: opennet.ru
