Iniuulat ng Debian developer at security researcher na si Andres Freund ang pagtuklas ng posibleng backdoor sa source code ng xz na bersyon 5.6.0 at 5.6.1.
Ang backdoor ay linya sa isa sa mga m4 script, na nagdaragdag ng na-obfuscate na malisyosong code sa dulo ng script ng pag-configure. Binabago ng code na ito ang isa sa mga nabuong Makefile ng proyekto, na sa huli ay nagreresulta sa malisyosong code (na itinago bilang isang test archive na bad-3-corrupt_lzma2.xz) na ipinapasok sa liblzma binary.
Ang kakaiba ng insidente ay ang nakapaloob na malisyosong code lamang sa distributed source code tarballs at wala sa git repository ng proyekto.
Iniulat na ang taong para sa kapakanan ng malisyosong code ay idinagdag sa repository ng proyekto ay maaaring direktang kasangkot sa nangyari, o naging biktima ng malubhang kompromiso ng kanyang mga personal na account (ngunit ang mananaliksik ay hilig sa unang opsyon, dahil ang taong ito ay personal na lumahok sa ilang mga talakayan na nauugnay sa mga nakakahamak na pagbabago).
Ayon sa link, nabanggit ng mananaliksik na ang pinakalayunin ng backdoor ay lumilitaw na mag-inject ng code sa proseso ng sshd at palitan ang RSA key verification code, at nagbibigay ng ilang paraan upang hindi direktang suriin kung kasalukuyang tumatakbo ang malisyosong code sa iyong system.
Ayon sa isang artikulo ng balita proyekto ng openSUSE, dahil sa pagiging kumplikado ng backdoor code at ang dapat na mekanismo ng operasyon nito, mahirap matukoy kung "nagtrabaho" ito kahit isang beses sa isang partikular na makina, at nagrerekomenda ng kumpletong muling pag-install ng OS na may pag-ikot ng lahat ng nauugnay na mga susi sa lahat ng makina na nahawahan ng mga bersyon ng xz kahit isang beses.
Pinagmulan: linux.org.ru