LINUX.ORG.RU

В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор

 ,


4

9

Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.

Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносной нагрузки (замаскированной под тестовый архив bad-3-corrupt_lzma2.xz) непосредственно в исполняемый файл библиотеки liblzma.

Особенность инцидента состоит в том, что вредоносные скрипты сборки, служащие «триггером» для бэкдора, содержатся только в распространяемых tar-архивах с исходным кодом и не присутствуют в git-репозитории проекта.

Сообщается, что человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему, либо стал жертвой серьёзной компрометации его личных учётных записей (но исследователь склоняется к первому варианту, т. к. этот человек лично участвовал в нескольких обсуждениях, связанных с вредоносными изменениями).

По ссылке исследователь отмечает, что в конечном итоге целью бэкдора, по-видимому, является инъекция кода в процесс sshd и подмена кода проверки RSA-ключей, и приводит несколько способов косвенно проверить, исполняется ли вредоносный код на вашей системе в данный момент.

Рекомендации по безопасности были выпущены проектами Arch Linux, Debian, Red Hat и openSUSE.

Разработчики Arch Linux отдельно отмечают, что хотя заражённые версии xz и попали в репозитории дистрибутива, дистрибутив остаётся в относительной «безопасности», т. к. sshd в Arch не линкуется с liblzma.


Проект openSUSE отмечает, что ввиду запутанности кода бэкдора и предполагаемого механизма его эксплуатации сложно установить «сработал» ли он хотя бы раз на данной машине, и рекомендует полную переустановку ОС с ротацией всех релевантных ключей на всех машинах, на которых хотя бы раз оказывались заражённые версии xz.

>>> Подробности

★★★★★

Проверено: maxcom ()
Последнее исправление: ilinsky (всего исправлений: 2)
Ответ на: комментарий от question4

Намного быстрее. Даже 3D рендер через трассировку лучей на нём сделали для прикола: https://github.com/annacrombie/meson-raytracer.

Стоит отметить что скрипт сборки Mesin исполняется только в процессе конфигурирования, за собственно процесс сборки отвечает Ninja.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от question4

Голый Makefile, CMake, Meson, GN, SCons, Xmake, Jam. Да куча альтернатив этим убогим дырявым Autotools.

X512 ★★★★★
()
Ответ на: комментарий от X512

Конкретно Muon использует не Ninja, а Samurai, я его где-то год назад тестировал на своём проекте, в моём случае он отрабатывал медленнее чем Ninja.

Dr64h ★★★
()

человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему

Почему не указано имя героя?

MoldAndLimeHoney
()
Ответ на: комментарий от Dr64h

Можно пользоваться чем больше нравиться: и Ninja, и Samurai. Samurai скорее для минимизации зависимостей.

X512 ★★★★★
()

Так а как организовывается бекдорирование?

serg002 ★★★
()

Пат уже отписался


Seems like a good idea to build this from a git pull rather than the signed
release tarballs. :-)
The liblzma in the previous packages were not found to be vulnerable by the
detection script, but I'd rather not carry the bad m4 files in our sources.
Here's a test script for anyone wanting to try it:


       if hexdump -ve '1/1 "%.2x"' /lib*/liblzma.so.5 | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410 ; then
       echo probably vulnerable
       else
       echo probably not vulnerable
       fi

splinter ★★★★★
()

Что интересно то атака по сути на тот же ssh. Буквально неделю назад писали что если в гугле набрать слово putty то вылазил какой то левый сайт и давал качать подменный клиент. Я понимаю что это в основном касается виндузятников, но лезут то они скорее всего к linux системам.

P.S. В переписовываемом core-utils (на Rust) есть back-doors ?

mx__ ★★★★★
()
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от EXL

Основная проблема именно в ней, во всём этом нагромождении какерских костыльков

Просто неуловимый Джо перестал надёжно охранять наш уютный динукс: нас ждут интересные, яркие годы, а то и десятилетия

pihter ★★★★★
()
Ответ на: комментарий от gag

Однако, общая практика дебиана «сначала как следует тестить, потом релизить» сработала и в данном случае, следует отметить

pihter ★★★★★
()
Ответ на: комментарий от iron

Кто там рассказывал про «тысячи глаз» которые читают исходники опенсорса?

А разве сабж - не оно?

pihter ★★★★★
()
Ответ на: комментарий от pihter

На серверах Линукс уже давно мейнстрим, а не неуловимый Джо. Линукс уже вытеснил Windows Server, *BSD, и проприетарные UNIX с серверного рынка.

X512 ★★★★★
()
Ответ на: комментарий от MoldAndLimeHoney

Потому что он одновременно и «Цзя Тань», и «Джигар Кумар», и даже «Ганс Янсен».

token_polyak ★★★★★
()
Ответ на: комментарий от iron

Нифига не нашли. А случайно наткнулись.

Во-первых, как я понял, чел специально искал, а, во-вторых, даже если бы и случайно, че не так-то? Как раз тысячи глаз и узрел и теперь подрежут злыдням крылья

pihter ★★★★★
()
Ответ на: комментарий от pihter

Однако, общая практика дебиана «сначала как следует тестить, потом релизить» сработала и в данном случае, следует отметить

А в каком дистре оно сработало ? Всякие ролинги это по сути та-же тестовая площадка …

Один из вариантов происхождения : Зачем они опубликовали собственные наработки ? Что хотели ЭТИМ показать ?

mx__ ★★★★★
()

На LWN какой-то чувак пишет: «Thank you for your work! I donated $1000 to Debian for your work. Let’s all do something nice for Debian, please?»

Где логика? Или это демьяновцы запустили васю с шапкой попробовать монет подсобрать, раз уж какой-никакой повод?

thesis ★★★★★
()
Ответ на: комментарий от thesis

Возможно, логика в том, что бекдор стало возможно встроить потому, что мейнтейнер был выгоревший и недомотивированный?

legolegs ★★★★★
()
Ответ на: комментарий от legolegs

Ух он мотивируется, если все начнут интенсивно засылать бабло НЕ ЕМУ.

thesis ★★★★★
()
Ответ на: комментарий от token_polyak

Должны же быть способы заслать человеку напрямую. Впрочем, я не в теме, может у них за такое налоговая не просто потребует долю, а тупо сожрет.

thesis ★★★★★
()
Ответ на: комментарий от legolegs

Знаете, я и сам своего рода мейнтейнер.jpeg

dimgel ★★★★★
()
Ответ на: комментарий от thesis

Похоже на то, что ни автор xz Лассе Коллин, ни Андрес Фрейнд пожертвования не собирают. По крайней мере, мне не удалось нагуглить никакие реквизиты.

token_polyak ★★★★★
()
Ответ на: комментарий от arrecck

Ну прикинь: ты пару лет тратишь не то чтобы много времени чтобы сделать вид что тебе можно доверять, а потом получаешь ЖЫР в виде zeroday который обеспечит тебя до конца жизни. При этом финансовых затрат нет, доступ в пентагон не нужен, нужно просто в свое удольствие архиватор пилить.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от undef

Учитывая на сколько чисто и красиво было сработано в данном случае и на всех этапах никто ничего не заподозрил, а уязвимость нашли чисто случайно, думаю много, очень много. Не удивлюсь если сейчас кто-то свои звездочки на погоны получил.

Reset ★★★★★
()
Ответ на: комментарий от lbvf50txt

Не внедрил, а попытался внедрить. В стабильные релизы уязвимость не вошла.

В стабильные релизы чего? Там чувак поправил гугловый репозиторий, поправив url’ы откуда качать xz, а также уязвимый код уже нашли в сборках 11й винды. Мы сейчас точно не знаем куда это вошло.

Reset ★★★★★
()
Ответ на: комментарий от legolegs

Любой бы встроил. Злоумышленник давил на авторов xz c нескольких аккаунтов, что надо патчи принять, так как они решают какие-то проблемы. Службу безопасности к каждому OSS не приставишь.

Reset ★★★★★
()
Ответ на: комментарий от Reset

В стабильные релизы чего?

Как минимум дистрибутивов основаных на Debian. Система безопаности OpenSource сообщества сработала. Мощная атака, проломила несколько колец обороны, но до рубежа stable не дошла.

lbvf50txt
()
Ответ на: комментарий от Reset

Злоумышленник давил на авторов xz c нескольких аккаунтов, что надо патчи принять,

Отлично. Прецедент создан, изучен. Теперь участники сообщества в курсе такого приема проведения атаки.

Службу безопасности к каждому OSS не приставишь.

Да не приставишь. И дальше будут взломы, атаки, бекдоры которые будут постепенно вычисляться и у сообщества будет появляться иммунитет.

lbvf50txt
()
Последнее исправление: lbvf50txt (всего исправлений: 1)
Ответ на: комментарий от iron

случайно наткнулись

Специально никто и не ищет. Вся идеи именно в том, чтобы случайно натыкаться.

no-such-file ★★★★★
()

Жене сейчас показал это позорище. Её реакция – «Шикарно, типичный опенсурс 😆»

Reset ★★★★★
()
Ответ на: комментарий от X512

На серверах Линукс уже давно мейнстрим, а не неуловимый Джо

Согласен. Я же не говорю что это случилось прям вот сейчас: сейчас стали проявляться последствия

pihter ★★★★★
()
Ответ на: комментарий от voltmod

ради интереса потыкал (из европы), сервера, внутренний впн (в европе), ssh $HOST exit:

  • европа: 0.01s user 0.00s system 0% cpu 1.641 total
  • америка: 0.01s user 0.00s system 0% cpu 2.745 total
  • гонконг: 0.01s user 0.00s system 0% cpu 3.988 total

числа +- стабильные

arcanis ★★★★
()
Ответ на: комментарий от Reset

Красиво, да. Но тут пришли большие числа, из тысячи глаз нашлась пара, заинтересовавшаяся тормозами sshd и выхлопом valgrind’а. По итогу дальше тестового репозитория не ушло. В результате, пара лет движа в топку, за такое обычно дают не звездочки, а в табло.

undef ★★★
()
Ответ на: комментарий от X512

Намного быстрее. Даже 3D рендер через трассировку лучей на нём сделали для прикола: https://github.com/annacrombie/meson-raytracer.

Почти в 84 раза быстрее. Молодцы.

Стоит отметить что скрипт сборки Mesin исполняется только в процессе конфигурирования,

Ну да. То же верно и для autotools, и для cmake.

question4 ★★★★★
()
Ответ на: комментарий от arrecck

В генту на вчера для ~amd64 была 5.6.1, потом откатили.

Дата маскирования в /usr/portage/profiles/package.mask указана 28-го марта:

# Sam James <sam@gentoo.org> (2024-03-28)
# Backdoor discovered in release tarballs. DOWNGRADE NOW.
# https://www.openwall.com/lists/oss-security/2024/03/29/4
# https://bugs.gentoo.org/928134
>=app-arch/xz-utils-5.6.0

Я апдейтился вечером 29-го, и пришло это.

question4 ★★★★★
()
Ответ на: комментарий от question4

У меня в кроне sync, увидел только вчера. Вчера же прочитал новости. На выходных.

arrecck ★★★
()
Ответ на: комментарий от iron

Еб***й стыд… Кто там рассказывал про «тысячи глаз» которые читают исходники опенсорса?

Так прочитали же.

AS ★★★★★
()
Ответ на: комментарий от Shadow

Я знал, что autotools редкая шиза, которую старательно выпиливают.

Меняя на постоянно ломающийся с обновлением cmake. Ага, знаю-знаю.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от saahriktu

Вот вам техническая информация по поводу. ALT не задело.

Если про версии правда, то даже в Сизифе пока 5.4.5. А, судя по https://git.altlinux.org/gears/x/xz.git?p=xz.git;a=summary, альтовый гит мержится с апстримным git. Если как тут написали про «только тарбол», то «торпеды бы мимо прошли» в данном конкретном случае и с новой версией.

AS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.