LINUX.ORG.RU

В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор

 ,


4

9

Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.

Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносной нагрузки (замаскированной под тестовый архив bad-3-corrupt_lzma2.xz) непосредственно в исполняемый файл библиотеки liblzma.

Особенность инцидента состоит в том, что вредоносные скрипты сборки, служащие «триггером» для бэкдора, содержатся только в распространяемых tar-архивах с исходным кодом и не присутствуют в git-репозитории проекта.

Сообщается, что человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему, либо стал жертвой серьёзной компрометации его личных учётных записей (но исследователь склоняется к первому варианту, т. к. этот человек лично участвовал в нескольких обсуждениях, связанных с вредоносными изменениями).

По ссылке исследователь отмечает, что в конечном итоге целью бэкдора, по-видимому, является инъекция кода в процесс sshd и подмена кода проверки RSA-ключей, и приводит несколько способов косвенно проверить, исполняется ли вредоносный код на вашей системе в данный момент.

Рекомендации по безопасности были выпущены проектами Arch Linux, Debian, Red Hat и openSUSE.

Разработчики Arch Linux отдельно отмечают, что хотя заражённые версии xz и попали в репозитории дистрибутива, дистрибутив остаётся в относительной «безопасности», т. к. sshd в Arch не линкуется с liblzma.


Проект openSUSE отмечает, что ввиду запутанности кода бэкдора и предполагаемого механизма его эксплуатации сложно установить «сработал» ли он хотя бы раз на данной машине, и рекомендует полную переустановку ОС с ротацией всех релевантных ключей на всех машинах, на которых хотя бы раз оказывались заражённые версии xz.

>>> Подробности

★★★★★

Проверено: maxcom ()
Последнее исправление: ilinsky (всего исправлений: 2)
Ответ на: комментарий от Rootlexx

Рач, кстати, не пострадал от это бэкдора. Как и NixOS, и некоторые другие bleeding edge дистры

«Ну да, потому что» эти дистрибутивы не были целью атаки. Заражённый код-то все всосали без исключения, так что сработал принцип неуловимого Джо.

Всё так. И получается, что дебиановская бюрократия не особо помогает. Но дебианщики иначе не могут, поэтому должны страдать.

Аргумент «если не обновлять софт по два года, то бэкдор, сунутый вчера, в него не попадёт» просто смешон.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 3)
Ответ на: комментарий от hateyoufeel

Всё так. И получается, что дебиановская бюрократия не особо помогает.

По факту получилось, что в Debian stable, RHEL и Ubuntu LTS — которые и были основными целями — данный backdoor так и не попал. Так что что дебиановская, что редхатовская — помогают. Ибо риск нарваться на такое, сразу всасывая новые версии из апстрима, несоизмеримо выше, чем если дать им существенное время побыть на испытательном.

Rootlexx ★★★★★
()
Ответ на: комментарий от Shadow

чтобы композитор вместо примитивов

Так поборники rdp считают что именно примитивы позволяют rdp быстро работать.

einhander ★★★★★
()
Ответ на: комментарий от einhander

Это немного разное, одно дело rdp, другое - хардверная буферизация и отрисовка примитивов, чтоб небыло тиринга и т.п.

Shadow ★★★★★
()
Ответ на: комментарий от Shadow

Да вот как бы оно связано, из гнома выкинули примитивы и теперь даже файловый менеджер тормозит если использовать сетевую прозрачность иксов, которая эти примитивы использует. В отличие от pcmanfm, который работает очень быстро, на том же не сильно быстром канале.

einhander ★★★★★
()
Ответ на: комментарий от cumvillain

h264. Проверено на игрушках 4k@60.

Посчитай битрейт и сравни с типичным каналом интернет.

В какую реализацию vnc завезли h264? Год назад тестировал, jpeg-turbo из turbovnc оказался быстрее всех, кроме наверное kasm, но он не совместим с другими реализациями vnc.

einhander ★★★★★
()
Ответ на: комментарий от einhander

Я лично занес в IANA кодировку Open H.264, мы с товарищем описали формат и сделали эталонную реализацию сервера и клиентские патчи для TigerVNC (уже приняты).

Правда, есть проблемы с поддержкой.

  • Из клиентов это поддерживает только TigerVNC и еще пара клиентов для вяленого.
  • Из серверов - только PiKVM и опять же несколько вяленых.

Мейнстрим не очень спешит с внедрением, хотя по сравнению с JPEG буст по производительности и экономии трафика просто гигантский.

У TigerVNC есть небольшие проблемы с включением клиентской части H.264 по умолчанию, потому что они боятся лицензионных проблем. Оно включено в сборках для винды, например, потому что на винде используется встроенный в ОС декодер, а на маке надо линковаться с ffmpeg, чего разрабы не хотят (можно включить, но много ли маководов собирают сами софт?) На маке надо использовать MediaKit или как там его, но писать это некому сейчас.

liksys ★★★★
()
Последнее исправление: liksys (всего исправлений: 1)
Ответ на: комментарий от liksys

и клиентские патчи для TigerVNC

Большое спасибо!

Shadow ★★★★★
()
Ответ на: комментарий от Shadow

Попробуйте 8bit цвет использовать.

Внезапно, как?

einhander ★★★★★
()
Ответ на: комментарий от Shadow

Тоже тормозит, но не требует настройки.

Для продакшена остановился на связке guacamole+ldap+xrdp+virtualgl. Если внутри сетки, то guacamole не используется.

einhander ★★★★★
()
Ответ на: комментарий от einhander

Видимо, тоже из-за лицензионных вопросов. Я потом попробую аналогичную штуку сделать для VP8 или VP9, они полностью свободные.

liksys ★★★★
()
Ответ на: комментарий от liksys

Для vnc не хватает нормального менеджера сессий как сделано в xrdp, наколенные скрипты достали. А так будет огонь.

einhander ★★★★★
()
Ответ на: комментарий от arcanis

там тормоза 500мс при логоне, большинство и не заметит

как раз задержка более 500мс это уже вполне заметно, по крайне мере для меня.

voltmod ★★★
()
Ответ на: комментарий от liksys

Учитывая что даже ляптоп у меня может 90, это все пора на свалку. Достаточный gpu есть даже на rpi. Единственное где все эти жопеги действительно нужно это встройка всякая типа ipmi.

cumvillain
()
Ответ на: комментарий от cumvillain

Передача звука есть в xrdp, rustdesk, steamlink, sunshine. Последний вполне можно использовать как удаленный доступ для нескольких пользователей, если бы кто-нибудь допилил захват мыши и клавы для разных пользователей.

einhander ★★★★★
()

В вы вот говорите, типа опенсорс, миллионы глаз и т.п. А тут какой-то левый чувак с фейковым именем с помощью кучи подставных аккаунтов внедрился в xz и внедрил бэкдор везде. Причем делал он это плавно, с помощью кучи подготовительных коммитов, которые были пропущены. Это позорище какое-то.

Reset ★★★★★
()
Последнее исправление: Reset (всего исправлений: 1)
Ответ на: комментарий от cumvillain

Достаточный для чего именно? На малине до четвертой включительно H.264 не может кодировать больше 1080p. На пятой вообще нет аппаратного енкодера, предлагается молотить всё процессором.

liksys ★★★★
()
Ответ на: комментарий от einhander

Я планирую сделать RFC на звук с Opus для VNC в этом или следующем году. Надо разгрести эти авгиевы конюшни уже наконец, а то из звуковых форматов там только PCM, лол.

liksys ★★★★
()
Ответ на: комментарий от liksys

Реально было очень круто, а то действительно у vnc с развитием как то не очень.

einhander ★★★★★
()
Ответ на: комментарий от cumvillain

Только это клиент, серверной части с h264 под онтопик нету.

einhander ★★★★★
()
Ответ на: комментарий от Reset

миллионы глаз

Ну так рук тоже миллионы. Некоторые из них потные.

thegoldone ★★
()
Ответ на: комментарий от hateyoufeel

Автолулзы несовместимы сами с собой.

Gentoo позволяет ставить несколько версий на одну машину. В какой-то момент у меня стояло одновременно штук 10. Думаю, ничего особо сложного и для других дистрибутивов. А тем более, для сборочного сервера.

Конечно, чем меньше, тем лучше.

question4 ★★★★★
()
Ответ на: комментарий от iron

В этом и состоит смысл «тысячи глаз». Не только искать специально в синтетических тестах, но и надеяться, что кто-то наткнётся в более разнообразной «дикой среде» на то, что тестами покрыть не догадались.

question4 ★★★★★
()

Это не ослабление/обход авторизации. Это rce!

https://twitter.com/dinodaizovi/status/1774156337905033515?t=6r4fX4F98xKg6Hi07mFSrg&s=19

The hooked RSA_public_decrypt verifies a signature on the server’s host key by a fixed ed448 key, and then passes payload to system()

It’s rce, not auth bypass and gated/unreplayable

Всё гораздо круче! И незаметнее. Работает только со специальным ключом атакующего.

aol ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.