В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор

Дистрибутивы без systemd не пострадали.

Заметь, 30 лет назад для этого использовали perl... Его уже забыли, m4 вытесняют более удобные решения, а ты... Сходи на всякий случай к психотерапевту!

Эти люди рассказывают про величие юникс-вея. И эти же люди генерируют подобную дрисню. Замечательно

Новость: в линуксячьи сорцы приделали прицепом зловред через кошмарную говносистему сборки, спасибо ГНУ и наследию божественного юникса.

Бекдор увидели и исправили, потому что open-source. В коммерческом говне ещё хуже - можно спокойно подложить вирусню и никто не узнает: пофиг какая система сборки. Вирусню как раз положили через бинарники в репозитории с исходным кодом, autotools всего лишь «помог» спрятать малварь.

и где-то Лёня взгрустнул

во всём этом нагромождении какерских костыльков UNIX-like мирка: m4, shell/bash, make, sed, awk и пр.

Лохи какие-то.
Надо было просто написать libsystemd-backdoor на расте и принудительно линковаться с ней.

Бекдор увидели и исправили, потому что open-source.

С другой стороны, бекдор запихнули, потому что open-source. Хе-хе.

Бекдор можно запихнуть в любой софт. Суть в том, что в open-source есть хоть какие-то способы борьбы.

Да я согласен, но все равно смешно. Бэкдор всунули в опенсорц, пользуясь олдовейшими гнутейшими инструментами от самих Юниксовых Отцов, а ты РРЯЯЯЯ ВЕНДОВС.

Я не исключаю что это спецоперация майкрософта по встраиванию вирусни в open-source. Странно всё это.

Хм. Судя по описанию по ссылки эта фигня есть только в Арче(потому что ролинг) и всяких sid, rawhide и т.д. Ну что это нормально.

Или спецоперация опен-сурса по дискредитации microsoft. Странно всё это.

Он сами себя дискредитировали внезапно забанив репозиторий. Вероятно прячут улики.

# lddtree /usr/sbin/sshd
/usr/sbin/sshd (interpreter => /lib64/ld-linux-x86-64.so.2)
    libaudit.so.1 => /lib64/libaudit.so.1
        libcap-ng.so.0 => /lib64/libcap-ng.so.0
    libpam.so.0 => /lib64/libpam.so.0
        libdl.so.2 => /lib64/libdl.so.2
    libpam_userpass.so.1 => /usr/lib64/libpam_userpass.so.1
    libselinux.so.1 => /lib64/libselinux.so.1
        libpcre.so.3 => /lib64/libpcre.so.3
    libcrypto.so.1.1 => /lib64/libcrypto.so.1.1
        libpthread.so.0 => /lib64/libpthread.so.0
    libutil.so.1 => /lib64/libutil.so.1
    libz.so.1 => /lib64/libz.so.1
    libcrypt.so.1 => /lib64/libcrypt.so.1
    libgssapi_krb5.so.2 => /lib64/libgssapi_krb5.so.2
        libk5crypto.so.3 => /lib64/libk5crypto.so.3
        libcom_err.so.2 => /lib64/libcom_err.so.2
        libkrb5support.so.0 => /lib64/libkrb5support.so.0
    libkrb5.so.3 => /lib64/libkrb5.so.3
        libkeyutils.so.1 => /lib64/libkeyutils.so.1
        libresolv.so.2 => /lib64/libresolv.so.2
    libc.so.6 => /lib64/libc.so.6
# rpm -q xz
xz-5.2.5-alt2.x86_64
#

ALT Linux p10. В Сизифе xz версии 5.4.5.

Уязвимость тут на самом деле в systemd. Остальное для виду. Божественный юникс (bsd) внезапно не затронут.

Архив можно скачать для любой ревизии + по релизным тегам они генерируются сами, разве нет?

Jia Tan

А потом спрашивают почему всякие хуавеи на западе забанили

Окстись. Вирусня в опенсорц встраивается не так и работает иначе. Главный опенсорц-вирус называется chromium, и его ты установил себе сам, в полном соответствии со старинной шуточкой про «линукс-вирус нужно скачать и запустить самому АХАХАХА».

А мобилки работают на целых вирусных операционных системах, в т.ч. опенсорцных, и всем нормально.

Jia Tan

А потом спрашивают почему всякие хуавеи на западе забанили

А если бы его звали полугномом, то надо было бы забанить всех полуросликов? Ведь всем известно, что в инете все подписываются своими настоящими именами.

Да это все понятно. Но больше 2 лет притворяться хорошим разработчиком - моё почтение и +100 баллов к социальному рейтингу.

Если вы про страницу releases, то нет, туда надо заливать руками. Архив с сорцами в tar и zip подсасывается сам. А бинари извольте ручками.

в fedora 40 beta сегодня прилетело понижение до версии 5.4.6

Слава Роботам! Микросхемам слава!

он теперь получит на1 миску риса больше да ещё и кошкожену!

До релиза 24.04 вкрылось, незачот

пардон, промазал

//а когда этим занимаются люди с хорошими, белыми лицами - то тогда это норм?

//кстати, не факт, что он вообще Суно Хунь на самом деле.

а когда этим занимаются люди с хорошими, белыми лицами - то тогда это норм?

кстати, не факт, что он вообще Суно Хунь на самом деле.

Соточки мало. ТоваришЪ всё сделал на грани шедевра. Мне даже немного жаль, что так быстро обнаружилось.

и?

Так тут обсуждают какие дистрибутивы затронуло, а какие нет.

Вот вам техническая информация по поводу. ALT не задело.

testing тоже пофиксили, спустя несколько часов после загрузки в sid. Не стали ждать, пока пакет отлежитс.

Пользователи FreeBSD могут выдыхать.

Этот Jia Tan мог наделать кучу прочего дерьма, кстати. Его уже отслеживают активно:

https://github.com/libarchive/libarchive/pull/1609/
https://github.com/google/oss-fuzz/pull/10667/

Думаю, нас еще ждут открытия.

https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Да, наглядная ретроспектива. Тоже собирался это запостить.

Вот это еще настораживает:

автор бэкдора также участвовал в разработке пакетов xz-java и xz-embedded, и был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux

На опеннете уже перевод есть.

А все потому, что бекдор активируется только при сборке RPM или DEB (проверка переменных окружения и существования файла debian/rules).

Debian, sshd... На серваки, получается, нацеливались?

Ещё надо, чтобы без pam и прочих транзитных притягивателей liblzma

Теперь можно будет сказать, что GitHub без авторизации по паспорту, это слишком угрожающе, сегодня бекдор, а завтра ваши дети, поэтому к авторизации по смс, добавится еще что нибудь интересное...

вроде же еще не 1 апреля :))))

Ну да, ну да, Andres Freund где работает? Все сходится! --sarcasm

и так же, это попало ко всем в MacOS:

==> Upgrading xz
  5.6.1 -> 5.4.6 
==> Pouring xz--5.4.6.arm64_sonoma.bottle.tar.gz
🍺  /opt/homebrew/Cellar/xz/5.4.6: 163 files, 2.6MB
==> Running `brew cleanup xz`...

С чего ты взял что он хромом пользуется?

Все пользуются.

Двух? То есть он не оригинальный автор xz?

Не ври, я не пользуюсь и никогда его не ставил.

I was doing some micro-benchmarking at the time, needed to quiesce the system to reduce noise. Saw sshd processes were using a surprising amount of CPU

Я правильно понимаю, эту диверсию раскрыли лишь потому, что чувак всерьез боролся с жужжанием кулера??

А на тебя всем насрать. Это во-первых.

А во-вторых, человек, который будет говорить, что никогда не пользовался браузером на хромых компонентах - трепло и не существует.

Не отмазывайся, ты заявил что все пользуются, и вот тебе пример то не все. И что им пользуется Skullnet - ты не обосновал.

что никогда не пользовался браузером на хромых компонентах - трепло и не существует.

Опять враньё. Если у тебя гуглозависимость развилась и ты не представляешь как жить без его зондов - не значит что все такие.

Если бы я работал в ЦРУ, я бы так и назвался.