Nhà phát triển Debian và nhà nghiên cứu bảo mật Andres Freund báo cáo việc phát hiện ra một cửa hậu có thể có trong mã nguồn của phiên bản xz 5.6.0 và 5.6.1.
Cửa sau là dòng ở một trong các tập lệnh m4, nối thêm mã độc đã bị xáo trộn vào cuối tập lệnh cấu hình. Sau đó, mã này sửa đổi một trong các Makefiles được tạo bởi dự án, cuối cùng dẫn đến mã độc hại (ngụy trang dưới dạng kho lưu trữ thử nghiệm bad-3-corrupt_lzma2.xz) được đưa vào tệp nhị phân liblzma.
Điều đặc biệt của vụ việc là mã độc chứa chỉ trong tarball mã nguồn được phân phối và không có trong kho git của dự án.
Có thông tin cho rằng người thay mặt cho mã độc được thêm vào kho lưu trữ của dự án có liên quan trực tiếp đến những gì đã xảy ra hoặc là nạn nhân của một sự xâm phạm nghiêm trọng tài khoản cá nhân của anh ta (nhưng nhà nghiên cứu nghiêng về lựa chọn đầu tiên, vì cá nhân người này đã tham gia vào một số cuộc thảo luận liên quan đến những thay đổi có hại).
Theo liên kết, nhà nghiên cứu lưu ý rằng mục tiêu cuối cùng của cửa sau dường như là đưa mã vào quy trình sshd và thay thế mã xác minh khóa RSA, đồng thời cung cấp một số cách để gián tiếp kiểm tra xem mã độc hại hiện có đang chạy trên hệ thống của bạn hay không.
Theo một bài báo dự án openSUSE, do sự phức tạp của mã cửa sau và cơ chế hoạt động được cho là của nó, rất khó để xác định liệu nó có “hoạt động” ít nhất một lần trên một máy nhất định hay không và khuyến nghị cài đặt lại hoàn toàn hệ điều hành bằng cách xoay tất cả các phím có liên quan trên tất cả các máy đã bị nhiễm phiên bản xz ít nhất một lần.
Nguồn: linux.org.ru