Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.

Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносной нагрузки (замаскированной под тестовый архив bad-3-corrupt_lzma2.xz) непосредственно в исполняемый файл библиотеки liblzma.

Особенность инцидента состоит в том, что вредоносные скрипты сборки, служащие «триггером» для бэкдора, содержатся только в распространяемых tar-архивах с исходным кодом и не присутствуют в git-репозитории проекта.

Сообщается, что человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему, либо стал жертвой серьёзной компрометации его личных учётных записей (но исследователь склоняется к первому варианту, т. к. этот человек лично участвовал в нескольких обсуждениях, связанных с вредоносными изменениями).

По ссылке исследователь отмечает, что в конечном итоге целью бэкдора, по-видимому, является инъекция кода в процесс sshd и подмена кода проверки RSA-ключей, и приводит несколько способов косвенно проверить, исполняется ли вредоносный код на вашей системе в данный момент.

Рекомендации по безопасности были выпущены проектами Arch Linux, Debian, Red Hat и openSUSE.

Разработчики Arch Linux отдельно отмечают, что хотя заражённые версии xz и попали в репозитории дистрибутива, дистрибутив остаётся в относительной «безопасности», т. к. sshd в Arch не линкуется с liblzma.

Проект openSUSE отмечает, что ввиду запутанности кода бэкдора и предполагаемого механизма его эксплуатации сложно установить «сработал» ли он хотя бы раз на данной машине, и рекомендует полную переустановку ОС с ротацией всех релевантных ключей на всех машинах, на которых хотя бы раз оказывались заражённые версии xz.

>>> Подробности

Лассе Коллин (Lasse Collin), мейнтейнер XZ Utils — пакета, содержащего liblzma и программу xz, пожаловался на слишком большой трафик к его сайту. Из-за него он был вынужден закрыть доступ к исходникам некоторых старых версий в форматах .gz и .bz2 (исходники в формате .xz остаются доступны). Пакет XZ Utils де-факто входит в число основных компонентов современных дистрибутивов.

По всей видимости, источником трафика являются пользователи source-based-дистрибутивов, то есть тех, где все пакеты скачиваются автоматически в виде исходного кода и собираются на машине пользователя. Обычно в них менеджер пакетов на каждой пользовательской машине скачивает код прямо с авторских серверов, а они могут не выдержать нагрузки. Коллин призвал разработчиков таких дистрибутивов отказаться от этой практики и открывать собственные зеркала для исходного кода.

Впрочем, конкретно в этом случае мера временная. Коллин предполагает вернуть все файлы обратно в ноябре.

>>> Главная страница проекта

>>> Архивная ссылка на WebCite

Спустя длительный период разработки и тестирования увидел свет выпуск 5.0.0 утилит и библиотек для компрессии xz-utils. Несмотря на номер версии 5, это первый стабильный выпуск xz-utils с этим названием (старое название — lzma-utils), xz-utils полностью совместимы с форматом lzma (как в сжатии в старом формате, так и в его распаковке).

Компрессия базируется на известном (в частности по 7-zip) формате LZMA, код LZMA распространяется по условиям лицензии Public Domain, остальной код xz-utils — по LGPL, GPL.
xz-utils уже были включены в состав многих дистрибутивов, а также активно используются для распространения tarball-ов исходного кода многими разработчиками, начиная с версии 13.0 .txz является форматом пакетов по умолчанию в дистрибутиве Slackware.

xz-utils поддерживаются на множестве платформ, включая Haiku, OS/2, QNX, OpenVMS, DOS, Windows, и, естественно, самые разнообразные *nix.
Новый формат данных xz по сравнению со старым (lzma) включает возможность использования в потоке контрольных данных (например, crc32/64 или sha-256), возможность использования дополнительных фильтров и цепочек фильтров, в том числе и заданных пользователем, для достижения лучшей компрессии отдельных данных (технические подробности по формату xz).

>>> Сайт проекта