В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор

Еб***й стыд… Кто там рассказывал про «тысячи глаз» которые читают исходники опенсорса?

$ # xz --version
xz (XZ Utils) 5.4.4
liblzma 5.4.4

Как говорится, «Баг миловал!..» ©

Никогда нельзя быть в чём-то уверенным.

He has been part of the xz project for 2 years, adding all sorts of binary test files, and to be honest with this level of sophistication I would be suspicious of even older versions of xz until proven otherwise.

https://news.ycombinator.com/item?id=39866275

Ну вот и нашли.

Ну вот и нашли.

Нифига не нашли. А случайно наткнулись.

Бэкдор представляет собой строчку в одном из m4-скриптов

Нефиг юзать автоговно, в cmake бы такое увидели сразу.

инъекция кода в процесс sshd и подмена кода проверки RSA-ключей

если не поднят ssh сервер, то и пофигу? тем более что за NAT-ом

Никому арчеводы не сдались, получается.

Активирующие бэкдор m4-макросы входили в состав tar-архивов релизов, но отсутствовали в Git-репозитории. При этом вредоносные тестовые архивы присутствовали в репозитории, т.е. внедривший бэкдор имел доступ как к репозиторию, так и к процессам формирования релизов.

Копротулзы озазывается ещё прекрасно подходят для сокрытия бекдоров ввиду их естественной обфусцированности и сгенерированных файлах в дистрибутиве исходников, отсутствующих в репозитории.

Пора уже используванию самого Autotools назначить CVE.

CWE

Нет, это релизные тарболлы которые собирает для вас мейнтейнер. Причём с выполненным autoreconf, который генерирует configure скрипт.

Это же огромная дыра в безопасности. Много ли людей проверяют что configure сгенерирован именно из исходников и туда не добавили какой-нибудь бекдор? Посути в архив с исходниками добавляют какой-то непонятный обфусцированный блоб не отслеживаемый по истории коммитов. А эту штуку ещё и от рута запускают при установке.

Всё т.е.? Все арчевские серверы будут переставлять, что ли?

Да, которой наконец-то кто-то воспользовался. И эта дыра – следствие autotools.

Много ли людей проверяют что configure сгенерирован именно из исходников и туда не добавили какой-нибудь бекдор?

Да, которой наконец-то кто-то воспользовался.

По крайней мере в Debian при сборке configure создаётся начисто.

$ man dh-autoreconf
...
The dh-autoreconf package provides a sequence addon for debhelper 7 and
is enabled by default since compatibility level 10
...

И проблема тут в другом. Требуется сборка строго из исходников (с очень редкими исключениями для особо тяжёлых случаев вроде биоса для virtualbox), и ничто не может быть подгружено из сети. Теперь очевидно, этого недостаточно. Лежащие рядом с чистыми исходниками бинарные файлы, которые используются исключительно для тестов, как оказалось, представляют реальную опасность.

Еб***й стыд… Кто там рассказывал про «тысячи глаз» которые читают исходники опенсорса?

Так там не совсем исходники, там нечитаемая херня от системы сборки, в которую в любое место можно спрятать вирусню и никто даже не заметит. Человек который придумал autotools должен гореть в аду. Оно не только неюзабельное, медленное, переусложнённое, но ещё и магнит для вот таких проблем с безопасностью. Да ещё находятся люди, которые до сих пор его юзают в новых, сука, проектах и что-то гонят на cmake. Я даже GNU Makefile осилил, но autotools - это чудовищный мутант, который нужно выпилить из всех проектов как можно скорее.

Я вот ещё читаю опеннет и похороникс. Опять вылезли винузятники и начали гнать на Linux/BSD, что якобы в их винде безопасность ох*енна, программисты Microsoft проверяют каждую строчку, не то что в вашем open-source! Лютый парад клоунов, который не понимает что closed-source софт это уже потенциальная угроза. Винда - это рассадник бекдоров, причём наверняка часть сделана намеренно самими MS.

GitHub заблокировал репы подозреваемого https://github.com/tukaani-project

$ brew upgrade
==> Upgrading 3 outdated packages:
...
xz 5.6.1 -> 5.4.6

у маководов такие дела :)

Жесть https://git.tukaani.org/?p=xz.git;a=commit;h=6e636819e8f070330d835fce46289a3f...

git.tukaani.org / xz.git / commit

Tests: Update two test files.
author	Jia Tan <jiat0218@gmail.com>
Sat, 9 Mar 2024 05:18:29 +0300 (10:18 +0800)
committer	Jia Tan <jiat0218@gmail.com>
Sat, 9 Mar 2024 05:18:29 +0300 (10:18 +0800)
commit	6e636819e8f070330d835fce46289a3ff72a7b89
tree	21da271d93956df20640f4b51a61a98430355968
parent	a3a29bbd5d86183fc7eae8f0182dace374e778d8
Tests: Update two test files.

The original files were generated with random local to my machine.
To better reproduce these files in the future, a constant seed was used
to recreate these files.
tests/files/bad-3-corrupt_lzma2.xz
tests/files/good-large_compressed.lzma

Зато при сборке пакета можно обойтись без autotools, перла и другого мусора.

Вы считаете нормальным собирать с помощью непонятного обфусцированного скрипта без истории коммитов, запускаемого от рута?

Он требует, чтобы sshd лежал в /usr/sbin/sshd ?

https://github.com/haikuports/haikuports/commit/3644a3db2a0ad46971aa433c105e2cce9d141b46

таки закрыли дырку??

Нет, там какой-то китаец два года коммитил

Не просто коммитил, а обновлял версию зонда видимо
В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор (комментарий)

Дырка я так понимаю изначально не работала для Haiku, но да, этим коммитом убрали стартёр экспоита. Для большей радости надо бы убрать заражённые тестовые архивы.

Поддтвержаю - на маке при апгрейде brew идет откат: xz 5.6.1 -> 5.4.6

Уязвимость на самом деле серьёзная, коммитер этот судя по HackerNews за два-три года развлекался как мог и накоммитил огромную кучу комммитов, в т. ч. кучу всяких невнятных тестовых бинарей заливал, удалял. А ещё год назад спокойно отключил санитайзер.

https://github.com/google/oss-fuzz/pull/10667

Так что далеко не факт что версии 5.4.x чисты, думается в скором будущем будут проводить аудит многих компонентов и возможно найдут что-то ещё.

Подозревают, что это фейковые люди.

И вот в этой ветке тоже, якобы, атакующий оказывает давление, чтобы поскорее сменить основного разработчика:

https://www.mail-archive.com/xz-devel@tukaani.org/msg00568.html

Могу выдохнуть? Не 5.6.x же

Нет. Тот чел уже 2.5 года коммитит в xz, и это только обнаруженый бекдор в 5.6, а в более ранних мог быть и другой бекдор, хотя мог и не быть.

- у нас есть система безопасности?
- что такое система безопасности?

Если он вообще китаец. Английский в коммитах у него чистый, что нехарактерно для китайцев.

Агента КПК могли и подготовить писать на английском.

Зачем? Если бы это был Китай, то они назвали бы своего человека John Smith, а не Jia Tan.

Согласно новостной статье проекта openSUSE, ввиду запутанности кода бэкдора и предполагаемого механизма его эксплуатации сложно установить, «сработал» ли он хотя бы раз на данной машине, и рекомендует полную переустановку ОС с ротацией всех релевантных ключей на всех машинах, на которых хотя бы раз оказывались заражённые версии xz.

В апстриме арча пофикшено...

core/xz 5.6.1-2 (653.1 KiB 2.5 MiB) (установлено)
    Library and command line tools for XZ and LZMA compressed files
faust@Rizen53600 ~> xz --version
xz (XZ Utils) 5.6.1
liblzma 5.6.1
faust@Rizen53600 ~>

Блин, опять обломали повод переустановить свой арч.

Вот здесь написано, что бэкдор включался только в deb и rpm сборки. Так что Арч точно не заражен.

Ты можешь залить сам с чем-то дополнительным, но на вкладке release и tag всегда будут и автома ически сформированные архивы.

В генту подлерженными уязвимости считают версии >=app-arch/xz-utils-5.4.3

Более ранние выпуски были подписаны другим человеком.

Вчера был откат на 5.4.6-r1, потом восстановили 5.4.2 и замаскировали более новые.

Ага. Достаточно людей интересуется вопросом чтобы один каким-либо образом наткнулся.

Ubuntu 23.10

Т.е. влезли в самыме популярные дистры. Те, кто юзает что-то отличное от мэйнстрима не пострадали?

Кто там рассказывал про «тысячи глаз» которые читают исходники опенсорса?

Бэкдор почти своевременно выявлн. Глаза работают, хотя и не идеальны.

восстановили 5.4.2

Нужно вообще отказаться от этого проекта, они потеряли лицо.

Не успели влезть. Только в openSUSE Tumbleweed проблалась эта версия. Я сразу накатил апдейт и теперь у меня стоит xz-5.6.1.revertto5.4-3.2.x86_64.
В Debian Sid и Fedora Rawhide этот бэкдор тоже уже пролез, но кто их использует на регулярной основе?

В Debian Sid

Вроде бы как и в testing пробрался. Но комент тот же.

Я приспособил m4 генерировать html для моего сайта… Держите меня!!!

Ещё одно интересное описание хронологии событий:
https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Это великолепно.

Новость: в линуксячьи сорцы приделали прицепом зловред через кошмарную говносистему сборки, спасибо ГНУ и наследию божественного юникса.

Комментатор: бла-бла-бла-БЛА-БЛА КЛОЗЕД СОРЦ УГРРРОЗА ВЕНДА РРРАССАДНИК БЭКДОРОВ!!!

P.S. Оказывается, m4 сделали те самые Ритчи с Керниганом. Вот же легендарные чуваки.

полную переустановку ОС

Прям как в божественной десяточке …

Я требую наказать виновных. По всей строгости законов РФ.