XZ 项目的老维护者 Lasse Collin 于 2022 年将权利转让给新维护者 Jia Tan,他的活动导致了后门的引入,发布了 XZ Utils 包 5.2.13、5.4.7 和 5.6.2 的修正版本。 XNUMX,删除了由于前维护者的恶意活动而添加的后门组件和其他可疑更改。
此外,Git 存储库上还发布了审查报告,并自 2022 年 8 月 Jia Tan 担任维护者期间添加了更改。更改是在个人提交级别进行分析的。存储库中的提交没有经过数字签名,但提交者没有篡改的迹象。总共 XNUMX 个恶意提交已从存储库中删除。
CRC CLMUL 代码尚未从代码库中删除,该代码在检查 MSAN(内存清理程序)时会导致误报以及 OSS Fuzz 问题。将来,他们计划重新编写此代码,但目前已决定不触及它,以避免旧分支中的回归。在进行与后门升级相关的更改之前添加的旧提交中没有发现可疑更改。本地化 po 文件、tar 文件中的元数据以及包含版本和翻译的存档均被单独检查。
这些更改还包括包含积压的错误修复以及删除对 Glibc 中提供的用于间接函数调用的 IFUNC 机制的支持,该机制用于组织后门中的函数拦截。值得注意的是,使用 IFUNC 只会使代码变得复杂,并且从中获得的性能提升并不显着。作为预防措施,XZ 徽标、手册页的 PDF 版本以及 x86 和 SPARC 架构的两个测试(将对象文件作为输入进行处理)也从源代码包中删除。
xzdec 解码器的创新之一是添加了对 Landlock 应用程序隔离机制的 ABI 版本 4 的支持。 “--enable-doxygen”选项已添加到 Autotools 构建脚本中,并且 ENABLE_DOXYGEN 参数已添加到 Cmake 脚本中,以使用 Doxygen 生成和安装 liblzma API 的文档。已经生成的文档已从包中删除。
来源: opennet.ru
