Debian 开发人员和安全研究员 Andres Freund 报告称,在 xz 版本 5.6.0 和 5.6.1 的源代码中发现了可能的后门。
后门是 m4 脚本之一中的行,它将混淆的恶意代码附加到配置脚本的末尾。然后,此代码会修改项目生成的 Makefile 之一,最终导致恶意代码(伪装为测试存档 bad-3-corrupt_lzma2.xz)被引入到 liblzma 二进制文件中。
该事件的特殊之处在于,其中包含恶意代码 仅 在分布式源代码 tarball 中,并且不存在于项目的 git 存储库中。
据报道,恶意代码被添加到项目存储库中的人要么直接参与了所发生的事情,要么是其个人帐户严重受损的受害者(但研究人员倾向于第一种选择,因为此人亲自参与了多次与恶意更改相关的讨论)。
根据链接,研究人员指出,后门的最终目标似乎是将代码注入到 sshd 进程中并替换 RSA 密钥验证代码,并提供了多种方法来间接检查当前系统上是否正在运行恶意代码。
据一篇新闻报道 openSUSE 项目,由于后门代码及其假定的操作机制的复杂性,很难确定它是否在给定机器上至少“工作”过一次,建议完全重新安装操作系统,并轮换所有相关密钥所有至少被 xz 版本感染过一次的机器。
来源: linux.org.ru