LINUX.ORG.RU

В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор

 ,


4

9

Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.

Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносной нагрузки (замаскированной под тестовый архив bad-3-corrupt_lzma2.xz) непосредственно в исполняемый файл библиотеки liblzma.

Особенность инцидента состоит в том, что вредоносные скрипты сборки, служащие «триггером» для бэкдора, содержатся только в распространяемых tar-архивах с исходным кодом и не присутствуют в git-репозитории проекта.

Сообщается, что человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему, либо стал жертвой серьёзной компрометации его личных учётных записей (но исследователь склоняется к первому варианту, т. к. этот человек лично участвовал в нескольких обсуждениях, связанных с вредоносными изменениями).

По ссылке исследователь отмечает, что в конечном итоге целью бэкдора, по-видимому, является инъекция кода в процесс sshd и подмена кода проверки RSA-ключей, и приводит несколько способов косвенно проверить, исполняется ли вредоносный код на вашей системе в данный момент.

Рекомендации по безопасности были выпущены проектами Arch Linux, Debian, Red Hat и openSUSE.

Разработчики Arch Linux отдельно отмечают, что хотя заражённые версии xz и попали в репозитории дистрибутива, дистрибутив остаётся в относительной «безопасности», т. к. sshd в Arch не линкуется с liblzma.


Проект openSUSE отмечает, что ввиду запутанности кода бэкдора и предполагаемого механизма его эксплуатации сложно установить «сработал» ли он хотя бы раз на данной машине, и рекомендует полную переустановку ОС с ротацией всех релевантных ключей на всех машинах, на которых хотя бы раз оказывались заражённые версии xz.

>>> Подробности

★★★★★

Проверено: maxcom ()
Последнее исправление: ilinsky (всего исправлений: 2)

Ответ на: комментарий от realbarmaley

Заметь, 30 лет назад для этого использовали perl... Его уже забыли, m4 вытесняют более удобные решения, а ты... Сходи на всякий случай к психотерапевту!

Shadow ★★★★★
()
Ответ на: комментарий от EXL

Эти люди рассказывают про величие юникс-вея. И эти же люди генерируют подобную дрисню. Замечательно

hateWin ★☆
()
Ответ на: комментарий от thesis

Новость: в линуксячьи сорцы приделали прицепом зловред через кошмарную говносистему сборки, спасибо ГНУ и наследию божественного юникса.

Бекдор увидели и исправили, потому что open-source. В коммерческом говне ещё хуже - можно спокойно подложить вирусню и никто не узнает: пофиг какая система сборки. Вирусню как раз положили через бинарники в репозитории с исходным кодом, autotools всего лишь «помог» спрятать малварь.

Skullnet ★★★★★
()
Последнее исправление: Skullnet (всего исправлений: 2)

и где-то Лёня взгрустнул

spbzip
()
Ответ на: комментарий от EXL

во всём этом нагромождении какерских костыльков UNIX-like мирка: m4, shell/bash, make, sed, awk и пр.

Лохи какие-то.
Надо было просто написать libsystemd-backdoor на расте и принудительно линковаться с ней.

devl547 ★★★★★
()
Ответ на: комментарий от Skullnet

Бекдор увидели и исправили, потому что open-source.

С другой стороны, бекдор запихнули, потому что open-source. Хе-хе.

thesis ★★★★★
()
Ответ на: комментарий от Skullnet

Да я согласен, но все равно смешно. Бэкдор всунули в опенсорц, пользуясь олдовейшими гнутейшими инструментами от самих Юниксовых Отцов, а ты РРЯЯЯЯ ВЕНДОВС.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)

Хм. Судя по описанию по ссылки эта фигня есть только в Арче(потому что ролинг) и всяких sid, rawhide и т.д. Ну что это нормально.

mx__ ★★★★★
()
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от tm4ig

Он сами себя дискредитировали внезапно забанив репозиторий. Вероятно прячут улики.

Skullnet ★★★★★
()
# lddtree /usr/sbin/sshd
/usr/sbin/sshd (interpreter => /lib64/ld-linux-x86-64.so.2)
    libaudit.so.1 => /lib64/libaudit.so.1
        libcap-ng.so.0 => /lib64/libcap-ng.so.0
    libpam.so.0 => /lib64/libpam.so.0
        libdl.so.2 => /lib64/libdl.so.2
    libpam_userpass.so.1 => /usr/lib64/libpam_userpass.so.1
    libselinux.so.1 => /lib64/libselinux.so.1
        libpcre.so.3 => /lib64/libpcre.so.3
    libcrypto.so.1.1 => /lib64/libcrypto.so.1.1
        libpthread.so.0 => /lib64/libpthread.so.0
    libutil.so.1 => /lib64/libutil.so.1
    libz.so.1 => /lib64/libz.so.1
    libcrypt.so.1 => /lib64/libcrypt.so.1
    libgssapi_krb5.so.2 => /lib64/libgssapi_krb5.so.2
        libk5crypto.so.3 => /lib64/libk5crypto.so.3
        libcom_err.so.2 => /lib64/libcom_err.so.2
        libkrb5support.so.0 => /lib64/libkrb5support.so.0
    libkrb5.so.3 => /lib64/libkrb5.so.3
        libkeyutils.so.1 => /lib64/libkeyutils.so.1
        libresolv.so.2 => /lib64/libresolv.so.2
    libc.so.6 => /lib64/libc.so.6
# rpm -q xz
xz-5.2.5-alt2.x86_64
#

ALT Linux p10. В Сизифе xz версии 5.4.5.

saahriktu ★★★★★
()
Ответ на: комментарий от thesis

Уязвимость тут на самом деле в systemd. Остальное для виду. Божественный юникс (bsd) внезапно не затронут.

spbzip
()
Ответ на: комментарий от Skullnet

Окстись. Вирусня в опенсорц встраивается не так и работает иначе. Главный опенсорц-вирус называется chromium, и его ты установил себе сам, в полном соответствии со старинной шуточкой про «линукс-вирус нужно скачать и запустить самому АХАХАХА».

А мобилки работают на целых вирусных операционных системах, в т.ч. опенсорцных, и всем нормально.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от Polugnom

Jia Tan

А потом спрашивают почему всякие хуавеи на западе забанили

А если бы его звали полугномом, то надо было бы забанить всех полуросликов? Ведь всем известно, что в инете все подписываются своими настоящими именами.

vtVitus ★★★★★
()
Ответ на: комментарий от vtVitus

Да это все понятно. Но больше 2 лет притворяться хорошим разработчиком - моё почтение и +100 баллов к социальному рейтингу.

Polugnom ★★★★★
()
Ответ на: комментарий от yoghurt

Если вы про страницу releases, то нет, туда надо заливать руками. Архив с сорцами в tar и zip подсасывается сам. А бинари извольте ручками.

PPP328 ★★★★★
()

в fedora 40 beta сегодня прилетело понижение до версии 5.4.6

vstartsev
()
Ответ на: комментарий от Polugnom

он теперь получит на1 миску риса больше да ещё и кошкожену!

mumpster ★★★★★
()

До релиза 24.04 вкрылось, незачот

DumLemming ★★★
()
Ответ на: комментарий от vtVitus

пардон, промазал

//а когда этим занимаются люди с хорошими, белыми лицами - то тогда это норм?

//кстати, не факт, что он вообще Суно Хунь на самом деле.

mumpster ★★★★★
()
Последнее исправление: mumpster (всего исправлений: 1)
Ответ на: комментарий от Polugnom

а когда этим занимаются люди с хорошими, белыми лицами - то тогда это норм?

кстати, не факт, что он вообще Суно Хунь на самом деле.

mumpster ★★★★★
()
Ответ на: комментарий от Polugnom

Соточки мало. ТоваришЪ всё сделал на грани шедевра. Мне даже немного жаль, что так быстро обнаружилось.

vtVitus ★★★★★
()
Ответ на: комментарий от mumpster

Так тут обсуждают какие дистрибутивы затронуло, а какие нет.

Вот вам техническая информация по поводу. ALT не задело.

saahriktu ★★★★★
()
Ответ на: комментарий от gag

testing тоже пофиксили, спустя несколько часов после загрузки в sid. Не стали ждать, пока пакет отлежитс.

undef ★★
()

Вот это еще настораживает:

автор бэкдора также участвовал в разработке пакетов xz-java и xz-embedded, и был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux

Gonzo ★★★★★
()
Ответ на: комментарий от AEP

А все потому, что бекдор активируется только при сборке RPM или DEB (проверка переменных окружения и существования файла debian/rules).

Debian, sshd... На серваки, получается, нацеливались?

QsUPt7S ★★
()
Ответ на: комментарий от bormant

Ещё надо, чтобы без pam и прочих транзитных притягивателей liblzma

t184256 ★★★★★
()
Ответ на: комментарий от Skullnet

Теперь можно будет сказать, что GitHub без авторизации по паспорту, это слишком угрожающе, сегодня бекдор, а завтра ваши дети, поэтому к авторизации по смс, добавится еще что нибудь интересное...

MOPKOBKA ★★★★
()

вроде же еще не 1 апреля :))))

init_ ★★★
()
Ответ на: комментарий от Skullnet

Ну да, ну да, Andres Freund где работает? Все сходится! --sarcasm

t184256 ★★★★★
()

и так же, это попало ко всем в MacOS:

==> Upgrading xz
  5.6.1 -> 5.4.6 
==> Pouring xz--5.4.6.arm64_sonoma.bottle.tar.gz
🍺  /opt/homebrew/Cellar/xz/5.4.6: 163 files, 2.6MB
==> Running `brew cleanup xz`...
alexmaru
()
Последнее исправление: alexmaru (всего исправлений: 1)
Ответ на: комментарий от rupert

I was doing some micro-benchmarking at the time, needed to quiesce the system to reduce noise. Saw sshd processes were using a surprising amount of CPU

Я правильно понимаю, эту диверсию раскрыли лишь потому, что чувак всерьез боролся с жужжанием кулера??

thesis ★★★★★
()
Ответ на: комментарий от firkax

А на тебя всем насрать. Это во-первых.

А во-вторых, человек, который будет говорить, что никогда не пользовался браузером на хромых компонентах - трепло и не существует.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Не отмазывайся, ты заявил что все пользуются, и вот тебе пример то не все. И что им пользуется Skullnet - ты не обосновал.

что никогда не пользовался браузером на хромых компонентах - трепло и не существует.

Опять враньё. Если у тебя гуглозависимость развилась и ты не представляешь как жить без его зондов - не значит что все такие.

firkax ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.