Debian Olùgbéejáde ati aabo oluwadi Andres Freund Ijabọ awọn Awari ti a ṣee ṣe backdoor ni koodu orisun ti xz awọn ẹya 5.6.0 ati 5.6.1.
Ẹnu ẹhin ni ila ninu ọkan ninu awọn m4 awọn iwe afọwọkọ, eyiti o ṣafikun koodu irira obfuscated si opin iwe afọwọkọ atunto. Koodu yii ṣe atunṣe ọkan ninu awọn Makefiles ti ipilẹṣẹ ti iṣẹ akanṣe, eyiti o jẹ abajade nikẹhin ni koodu irira (ti o dabi ibi ipamọ idanwo bad-3-corrupt_lzma2.xz) ti a ṣe sinu alakomeji liblzma.
Iyatọ ti iṣẹlẹ naa ni pe koodu irira ti o wa ninu Nikan ni awọn tarballs koodu orisun pinpin ati pe ko wa ninu ibi ipamọ git ti iṣẹ akanṣe.
O royin pe ẹni ti o jẹ orukọ irira ti a ṣafikun koodu irira si ibi ipamọ iṣẹ naa boya ni ipa taara ninu ohun ti o ṣẹlẹ, tabi ti o jẹ olufaragba adehun pataki ti awọn akọọlẹ ti ara ẹni (ṣugbọn oniwadi naa tẹri si aṣayan akọkọ, niwon eniyan yii tikalararẹ kopa ninu ọpọlọpọ awọn ijiroro ti o ni nkan ṣe pẹlu awọn ayipada irira).
Gẹgẹbi ọna asopọ naa, oniwadi ṣe akiyesi pe ibi-afẹde ti o ga julọ ti ẹhin ẹhin han lati jẹ lati tẹ koodu sinu ilana sshd ati rọpo koodu ijerisi bọtini RSA, ati pese awọn ọna pupọ lati ṣayẹwo taara boya koodu irira nṣiṣẹ lọwọlọwọ lori ẹrọ rẹ.
Gẹgẹbi nkan iroyin kan openSUSE ise agbese, nitori idiju ti koodu ẹhin ati ẹrọ ti o yẹ ti iṣiṣẹ rẹ, o nira lati pinnu boya o “ṣiṣẹ” o kere ju lẹẹkan lori ẹrọ ti a fun, ati ṣeduro fifi sori ẹrọ ni pipe ti OS pẹlu yiyi gbogbo awọn bọtini ti o yẹ lori gbogbo awọn ẹrọ ti o ti ni akoran pẹlu awọn ẹya xz o kere ju lẹẹkan.
orisun: linux.org.ru