Debian 開發人員和安全研究員 Andres Freund 報告稱,在 xz 版本 5.6.0 和 5.6.1 的源代碼中發現了可能的後門。
後門是 m4 腳本之一中的行,它將混淆的惡意程式碼附加到配置腳本的末尾。然後,此程式碼會修改專案產生的 Makefile 之一,最終導致惡意程式碼(偽裝為測試存檔 bad-3-corrupt_lzma2.xz)被引入到 liblzma 二進位檔案中。
該事件的特殊之處在於,其中包含惡意程式碼 僅 在分散式原始碼 tarball 中,並且不存在於專案的 git 儲存庫中。
據報道,惡意程式碼被添加到專案儲存庫中的人要么直接參與了所發生的事情,要么是其個人帳戶嚴重受損的受害者(但研究人員傾向於第一種選擇,因為此人親自參與了多次與惡意變更相關的討論)。
根據該鏈接,研究人員指出,後門的最終目標似乎是將程式碼注入 sshd 進程並替換 RSA 金鑰驗證程式碼,並提供了多種方法來間接檢查當前系統上是否正在運行惡意程式碼。
據一篇新聞報道 openSUSE 項目,由於後門代碼及其假定的操作機制的複雜性,很難確定它是否在給定機器上至少“工作”過一次,建議完全重新安裝作業系統,並輪換所有相關密鑰所有至少被xz 版本感染過一次的機器。
來源: linux.org.ru