The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Ретроспектива продвижения бэкдора в пакет xz

30.03.2024 12:47

Предположительно бэкдор в пакет xz был внедрён разработчиком Jia Tan, который в 2022 году получил статус сопровождающего и выпускал релизы начиная с версии 5.4.2. Помимо проекта xz предполагаемый автор бэкдора также участвовал в разработке пакетов xz-java и xz-embedded, и был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux.

В организации продвижения бэкдора также замечены ещё два участника - Jigar Kumar и Hans Jansen, которые, судя по всему, являются виртуальными персонажами. Jigar Kumar в апреле 2022 года способствовал принятию в xz ранних патчей Jia Tan c реализацией поддержки строковых фильтров и оказывал моральное давление на Lasse Collin, тогдашнего сопровождающего, критикуя, что он не способен выполнять свои обязанности и не принимает полезные патчи. В июне Lasse Collin согласился, что проекту нужен новый сопровождающий, посетовал на выгорание и проблемы с психическим здоровьем, и передал право мэйнтейнера Jia Tan. После этого пользователь Jigar Kumar больше не появлялся в рассылке.

Получив права мэйнтейнера Jia Tan стал активно добавлять изменения в проект и по статистике за два года занял второе место среди разработчиков по числу изменений. В марте 2023 года ответственный за тестирование пакета xz в сервисе oss-fuzz был заменён с Lasse Collin на Jia Tan, а в июне в состав xz были приняты изменения, добавляющие в liblzma поддержку механизма IFUNC (конструктор crc64_fast был заменён на ifunc), который позднее был задействован для организации перехвата функций в бэкдоре. Изменение предложил Hans Jansen, а Jia Tan принял его в состав xz. Учётная запись Hans Jansen была создана непосредственно перед отправкой pull-запроса.

В июле 2023 года Jia Tan отправил разработчикам oss-fuzz запрос на отключение проверки ifunc из-за его несовместимости с режимом "-fsanitize=address". В начале февраля 2024 года ссылка на сайт проекта в oss-fuzz и на главной странице tukaani.org была изменена с "tukaani.org/xz/" на "xz.tukaani.org", где поддомен "xz.tukaani.org" размещался в сервисе GitHub Pages и контролировался лично Jia Tan. 23 февраля в репозитории xz были размещены архивы для тестирования работы декодировщика, среди которых были файлы bad-3-corrupt_lzma2.xz и good-large_compressed.lzma со скрытым бэкдором. M4-макросы для активации бэкдора были включены только в tar-архив с релизом 5.6.0 и были исключены из Git-репозитория, но засветились в файле .gitignore.

17 марта Hans Jansen, разработавший ранее патчи с поддержкой IFUNC, был зарегистрирован в качестве участника проекта Debian, а 25 марта им был отправлен запрос на обновление версии пакета xz-utils в репозитории Debian. Запросы на обновление версии также поступили разработчикам Fedora и Ubuntu (в Ubuntu репозиторий был на стадии заморозки и изменение было отклонено).

К просьбам обновить версию xz также присоединились некоторые пользователи, заявлявшие, что в новой версии устранены мешающие работе сбои, выявляемые при отладке в valgrind (проблемы возникали из-за некорректного определения раскладки стека в обработчике бэкдора и эти проблемы разработчики бэкдора постарались устранить в версии xz 5.6.1). Сбоем также заинтересовался Andres Freund, сотрудник Microsoft, участвующий в разработке PostgreSQL, который выявил наличие бэкдора и оповестил об этом сообщество.

Дополнение 1: Lasse Collin, прошлый сопровождающий проекта xz, передавший права Jia Tan, опубликовал заявление, в котором подтвердил, что архивы с содержащими бэкдор релизами были созданы и подписаны Jia Tan. Он также сообщил об удалении поддомена xz.tukaani.org (сайт xz будет возвращён на основной сервер tukaani.org) и упомянул, что его учётную запись на GitHub заблокировали. Lasse Collin единолично контролирует сайт tukaani.org и репозитории git.tukaani.org, а Jia Tan контролировал только проект на GitHub и хост xz.tukaani.org, но не имел доступа к серверу tukaani.org.

Дополнение 2: Разбор логики активации и работы бэкдора в пакете xz.

Дополнение 3: В сборочном сценарии CMakeLists.txt выявлено вредоносное изменение, не позволяющее использовать в xz механизм изоляции приложений Landlock.

Дополнение 4: По мотивам выявленного бэкдора подготовлен инструментарий xzbot, включающий в себя: honeypot для создания фиктивных серверов, притворяющихся уязвимыми для выявления попыток подключения злоумышленников; патч для замены открытого ключа в бэкдоре внутри liblzma.so на свой ключ (чтобы подключаться к бэкдору по своему закрытому ключу); демонстрацию для инициирования выполнения кода в модифицированном бэкдоре, используя свой закрытый ключ.

  1. Главная ссылка к новости (https://boehs.org/node/everyth...)
  2. OpenNews: В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd
  3. OpenNews: Университет Миннесоты отстранён от разработки ядра Linux за отправку сомнительных патчей
  4. OpenNews: Команда из Университета Миннесоты пояснила мотивы экспериментов с сомнительными коммитами в ядро Linux
  5. OpenNews: Разработчики ядра Linux завершили аудит всех патчей от Университета Миннесоты
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60880-xz
Ключевые слова: xz, backdoor
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (219) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 12:57, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +69 +/
    Таки работает схема с тысячей глаз!
     
     
  • 2.12, Oe (?), 13:03, 30/03/2024 Скрыто ботом-модератором     [к модератору]
  • –74 +/
     
     
  • 3.14, Аноним (14), 13:06, 30/03/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.16, Аноним (16), 13:10, 30/03/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 3.15, Аноним (16), 13:09, 30/03/2024 Скрыто ботом-модератором     [к модератору]
  • +6 +/
     
     
  • 4.26, Аноним (26), 13:38, 30/03/2024 Скрыто ботом-модератором     [к модератору]
  • +16 +/
     
  • 4.82, Аноним (82), 16:07, 30/03/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 4.170, microcoder (ok), 01:04, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Объясните, а что даст взломщику локальный рут у простого пользователя? Файлы и так потереть может, слить их в сеть тоже. Зачем рут нужен?
     
     
  • 5.223, pelmaniac (?), 17:36, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > просто пользователя

    оно сидит за 1. провайдерским натом 2. за роутером
    и нафиг никому не надо

    у более-менее вменяемого юзера браузер НЕ запускается из под пользователя и нифига не может ценного взять

     
     
  • 6.242, microcoder (ok), 02:33, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > у более-менее вменяемого юзера браузер НЕ запускается из под пользователя и нифига
    > не может ценного взять

    Как стать вменяемым? Что надо сделать?


     
  • 3.41, вымя (?), 14:01, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Ага, покажите мне эти «тысячи способов получить рут», у меня тут как раз есть телепончик, с которого бы хотелось снять бекап с приложения, у которого в манифесте за непонятной причиной выключен android:allowBackup, и чтобы без вайпа данных разблокировкой загрузчика. И нет, все эти king(o)root со скачкой неведомых пейлоадов с китайских серверов не подходят, потому что с ними вообще непонятно, каких троянов они там сами поназапускают вслед с шеллом.
     
  • 3.112, Аноним (112), 17:44, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > В линухе дыр настолько много, что винде и не снилось.

    Анализировали коды обоих? Результаты представьте.

     
  • 3.127, Аноним (127), 19:27, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а как винде получить рут?
     
  • 3.142, Аноним (142), 20:14, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А винде фурифокс прям изолирован?
     
  • 3.154, Аноним (154), 21:00, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Напиши свой репозиторий за бесплатно. Я тебе даже помогу — имя придумаю. Проект Джин! Вот так пользователи и будут писать:
    джин наколдуй nano
    джин список --установленного
    джин ищи qtcreator
    ну или su -c "джин ..."
    Звучит? А?
     
  • 3.192, Легивон (?), 08:14, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Андроид тому подтверждение с тысячами способов получить рут.

    В винде все просто работают из под рута. Даже получать ничего не надо. Удобно.

     
  • 3.196, AlexYeCu (ok), 09:36, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты наивное дитя на поводу у зла…
    Отсутствие изкоробочного root-а — это и есть уязвимость сама по себе.
     
  • 2.27, Аноним (26), 13:39, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не работает . Просто хакеры зевнули .
     
  • 2.36, сщта (?), 13:51, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Только в МС надо стукнуть чтобы посмотрели,а так да.
     
  • 2.65, Анонин (-), 15:04, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Таки работает схема с тысячей глаз!

    Где же она работает? Тыщщи глаз два года ничего не замечали.
    Потом пришел профи из корпорации Майкрософт и сказал "Чуваки, вы же обделались!"
    А тыщщи глаз похлопали и побежали срочно обновляться.

     
     
  • 3.95, Всем Анонимам Аноним (?), 16:42, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не совсем так, месяц продержалось, в основном или на мелких дистрибутивах, которые в production не будет никто ставить, или в тестовых версиях больших (для этого они и есть, чтобы там народ потестил их на себе вначале). В RedHat и деривативы не попало, в Ubuntu тоже, это 2 основных. В Debian конечно жаль, но это тоже еще собрание волонтеров без каких-то гарантий.
     
     
  • 4.183, fhunter (?), 04:51, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В Debian тоже не попало кроме testing-а
     
  • 3.123, Hashnames (?), 19:16, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +9 +/
    А кто, по вашему, пишет опенсорс? Домохозяйки? Вот эти самые "профи из Майкрософта", Гугла и прочих Тенцентов, в основном, и пишут. Суть-то не в том, что профи или не профи, а в том, что в данном случае из десятков тысяч человек которые успели поставить этот пакет, нашёлся один - совершенно не связанный ни с затронутыми дистрибутивами, ни с затронутыми приложениями или библиотеками, который заметил, что что-то не так. И, в результате, два года хитрых манипуляций пошли прахом за один месяц. А был бы закрытый код, надеяться бы можно было только на релизеров - т.е. на тех людей которые, в данном случае, проблему как раз успешно и провафлили.

    Тут больше возникает вопросов к дебиану, которые, емнип, уже как минимум второй раз так успешно садятся в лужу со своими волшебными патчами (openssl вроде был, где они отключили генератор энтропии, потому что он valgrind ломал)

     
  • 2.122, майнеймис (?), 19:15, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    с пауками чтоль?
     

     ....большая нить свёрнута, показать (23)

  • 1.3, pic (?), 12:58, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Так будет иск или расследование с открытием дела?
     
     
  • 2.8, Аноним (16), 13:01, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Расследование уже началось.

    Дело будет, если найдут подозреваемого. Судя по всему, он (они) всегда ходил через VPN, так что найти настоящего человека будет нереально.

    NSA/CIA/RedHat/Microsoft уже в работе.

     
     
  • 3.34, Аноним (16), 13:46, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Proof: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compr

     
  • 3.47, Аноним (47), 14:16, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +11 +/
    > всегда ходил через VPN
    > NSA/CIA/RedHat/Microsoft уже в работе.

    Вот кто-то подумает, что во всем опять VPN виновен.

    Архив релиза, говорят, был подписан. А значит проблема в ОРГАНИЗАЦИИ работы с ключами! Кто в глаза видел этого "Jia Tan"? Кто подписал его OpenPGP ключ? Где цепочка доверия между его OpenPGP ключом и ключами ментейнеров которые включили его пакет в дистрибутивы?

    Не даром Линус графики рисует с цепочками доверия к ключу КАЖДОГО разраба: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/graphs

    И отдельно стережет все публичные ключи разрабов:
    https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/keys
    https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/.keyring/openpgp
    https://mirrors.edge.kernel.org/pub/site/keyring.gpg
    https://mirrors.edge.kernel.org/pub/site/keyring.kbx

     
     
  • 4.50, Аноним (47), 14:24, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > посетовал на выгорание и проблемы с психическим здоровьем, и передал право мэйнтейнера Jia Tan

    Ну вот, траванули разраба, а он передал управление проектом непонятно кому.

    Где крос подписи ключей Lasse Collin и Jia Tan?

    Где цепочка доверия между ключами Lasse Collin и Jia Tan?

     
     
  • 5.70, timur.davletshin (ok), 15:11, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На самом деле просто ключами PGP разработчики пользоваться не умеют в своей массе. Это не домысел, это факт.
     
     
  • 6.73, Аноним (47), 15:22, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лет 5 назад лично проводил исследование применение OpenPGP для подписи пакетов.

    В Gentoo distfiles:
    <15% пакетов имели подписи. Среди них поддельных пакетов не обнаружил.
    1 пакет подписан одновременно двумя разработчиками.
    было замечено несколько <10 пакетов которые меняли разработчика.
    среди них пару пакетов сменили разработчика и не было кросподписи ключей старого и нового разраба. То есть наш случай.

     
     
  • 7.118, Аноним (118), 18:47, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно про методику?
     
     
  • 8.251, Аноним (251), 10:44, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    man gpg Скрипт, написанный лет 5 назад, который проверяет PGP подписи файлов с G... текст свёрнут, показать
     
  • 6.76, Аноним (76), 15:34, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Разработчики ? хм.

    Вот к примеру раздают LibreOffice, сам пакет и подпись asc к нему. Вы может по шагам описать как правильно проверить этот пакет ? Я механизм знаю, проверял, какая то фигня а не проверка.

     
     
  • 7.77, timur.davletshin (ok), 15:45, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Разработчики ? хм.
    > Вот к примеру раздают LibreOffice, сам пакет и подпись asc к нему.
    > Вы может по шагам описать как правильно проверить этот пакет ?
    > Я механизм знаю, проверял, какая то фигня а не проверка.

    Инструкцию на сайте убрали уже рядом с предложением скачать подпись для проверки? Или ты из тех, кто их не читает? У меня тут буквально пару недель назад один носился "У меня образ Debian контрольную сумму выдаёт не ту. А! Меня ломанули!". Оказалось, что он умудрился сравнивать образ Debian с XFCE c контрольной суммой от "обычной" сборки.

     
  • 7.91, Аноним (91), 16:31, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Я механизм знаю, проверял, какая то фигня а не проверка.

    Добавь проверку публичного ключа. Используй WoT и найди несколько цепочек к ключу которому доверяешь.

     
     
  • 8.233, OpenEcho (?), 20:02, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это типа - через гпг сервера Так на них кто угодно от твоего имени залить может... текст свёрнут, показать
     
     
  • 9.252, Аноним (251), 11:04, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы с высоким уровнем достоверности можно было полагатся на публичный ключ, не... текст свёрнут, показать
     
     
  • 10.258, OpenEcho (?), 17:10, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и как Удачно нашел ко ВСЕМ 4 цепочки В том то и дело, что ни с Вадимом и т... текст свёрнут, показать
     
     
  • 11.275, Аноним (275), 17:45, 04/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да https git kernel org pub scm docs kernel pgpkeys git tree graphs Одну ошиб... большой текст свёрнут, показать
     
     
  • 12.276, OpenEcho (?), 19:50, 04/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там львиня доля народа до которых у меня нет никакой цепочки чтоб им верить, и е... большой текст свёрнут, показать
     
  • 7.109, Fedd (ok), 17:30, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    gpg --verify LibreOffice_24.2.2.2_Linux_x86-64_deb.tar.gz.asc LibreOffice_24.2.2.2_Linux_x86-64_deb.tar.gz
     
     
  • 8.125, Аноним (76), 19:20, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я же сказал что читал инструкцию и что знаю процедуру Вы поглядите что пишет пр... текст свёрнут, показать
     
     
  • 9.253, Аноним (251), 11:06, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    https www opennet ru openforum vsluhforumID3 133256 html 252 ... текст свёрнут, показать
     
  • 6.136, Аноним (136), 19:49, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Кто пользует то что на работе работает )
     

     ....большая нить свёрнута, показать (20)

  • 1.4, Oe (?), 12:59, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –37 +/
    У меня zip, все работает не просто отлично, а шикарно. Пользователи виндоус кстати тоже это подтверждают. Продолжайте использовать name.zm.tg.jh.qu.md *овнорхивы в 2024.
     

     ....ответы скрыты (4)

  • 1.5, Аноним (16), 12:59, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Кинул в Федору предложение: https://pagure.io/fesco/issue/3185

    Может, соберутся и реализуют, но надежды примерно 0.00001%, а по факту, скорее всего, скажут: "Не туда написал, ищи тех и тех, закрываем, и вообще не к нам". На opennet не хочу больше писать под собой, из-за лютой ярой ненависти и фанатизма.

     
     
  • 2.39, Аноним (39), 13:58, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Andres Freund, залогиньтесь.
     
  • 2.49, Rev (?), 14:22, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошее предложение!
     
  • 2.66, аннаним (?), 15:05, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >There must be a website or a central authority

    С одной стороны выглядит назревшим и необходимым. С другой - это ж дораспугает всех инди коммитеров, останется только корпорат, а возглавят спецслужбы.

     
  • 2.98, Всем Анонимам Аноним (?), 16:46, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Можно было бы помягче написать. Троллить каждый может и советовать. Проблема не с поливанием дерьмом что типа все вы тут хреново сделали и советами всем вподряд с дивана.
     
  • 2.100, Аноним (141), 16:50, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так Fedora тебя тоже кинет.
     
  • 2.169, Аноним (169), 23:51, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Разрабы Fedora сказали, что это предложение "anti-freedom", при этом ничего не уточняя, так что будем и дальше радоваться malware, которое нам спускают дистры, потому что им глубоко на всё начхать.
     
     
  • 3.206, name (??), 11:45, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>There must be a website or a central authority
    >Разрабы Fedora сказали, что это предложение "anti-freedom"

    Кококо

     

  • 1.6, Карлос Сношайтилис (ok), 13:00, 30/03/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +4 +/
     

     ....ответы скрыты (3)

  • 1.7, Аноним (7), 13:00, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Майкрософт как обычно приходит и спасает положение
     
     
  • 2.21, Аноним (21), 13:25, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    PostgreSQL же. Всем известно, что Postgre - лучший мессенджер для передачи файлов
     
     
  • 3.132, Аноним (127), 19:40, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    postgre только для 1с годится
    у всех остальных postgres
     
  • 3.259, Аноним (259), 20:02, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    postgres
     

  • 1.9, Vf (?), 13:01, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ну, по крайней мере тезис про тысячу глаз работает.
     
     
  • 2.11, Аноним (16), 13:02, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Нашли не глаза, malware заметили из-за глюков в работе.

    Глаза - это не больше, чем миф.

     
     
  • 3.37, Аноним (141), 13:52, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Ну да, файлы же с бекдором bad-3-corrupt_lzma2.xz и good-large_compressed.lzma нащупали на ощупь по методу Брайля.
     
  • 2.23, n00by (ok), 13:27, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    При этом тезис "за 2 года спланированной деятельности бэкдур внедрён только в liblzma" предлагается принять на веру.
     
     
  • 3.46, Аноним (39), 14:11, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Либо можно интерпретировать как "за 2 года спланированной деятельности бекдур осилили внедрить только в liblzma". Кто прав? Время покажет.
     
     
  • 4.52, n00by (ok), 14:25, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что можно так интерпретировать и на каком основании?
     

  • 1.13, Аноним (13), 13:04, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >17 марта Hans Jansen, разработавший ранее патчи с поддержкой IFUNC, был зарегистрирован в качестве участника проекта Debian

    Это, кажется, требует личной встречи с участниками проекта для удостверения публичных ключей, должен быть предоставлен выданный государством ID-документ.

     
     
  • 2.35, Dmitry Shachnev (ok), 13:47, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Он просто зарегистрировался на местном гитлабе. Мейнтейнером или девелопером он не стал.
     
     
  • 3.54, Аноним (54), 14:25, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Участник проекта Debian - это как раз участник с правом голоса и полномочиями самому заливать пакеты.
     

  • 1.17, Шарп (ok), 13:10, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma.

    Опять дебианчик со своими патчами. Когда уже им по рукам надавают, чтобы перестали лезть в чужой софт.

     
     
  • 2.19, Аноним (19), 13:15, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Можно копнуть еще глубже, и найти того кто протащил эту зависимость systemd для sshd.
     
     
  • 3.43, Аноним (39), 14:02, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Ты поаккуратнее с такими заявлениями, а то выяснится что за всем стоит дядя Лёня.
     
  • 3.57, Шарп (ok), 14:31, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем? Если авторы systemd добавили зависимость, то это их дело. Они же владельцы. Я интересуюсь какого фига мейнтейнеры дебианчика лезут своими кривыми руками в чужой код. Они один раз уже пропатчили openssl (https://www.schneier.com/blog/archives/2008/05/random_number_b.html). В результате стойкость ключей помножили на ноль. Но похоже дебиановцы после того факапа отстирали штанишки и опять принялись за старое.
     
     
  • 4.174, aname (?), 02:26, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Есть подозрение, что они и не стирали
     
     
  • 5.189, n00by (ok), 07:28, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Есть и подтверждение этой гипотезе - слишком часто эксперты пишут "душно!"
     
     
  • 6.254, aname (?), 11:13, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть и подтверждение этой гипотезе - слишком часто эксперты пишут "душно!"

    Не баг, а фича!

     
  • 4.261, Аноним (259), 20:04, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что операционная СИСТЕМА — это система, а не разрозненные никак не связанные компоненты.
     

  • 1.18, Аноним (7), 13:14, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Изначальный автор xz-utils вообще ушел давно из проекта по состоянию здоровья. Теперь вот эти мутные типы с полным доступом, которых вообще не существует походу, делают релизы с бэкдором.
    Да тут весь xz проект скомпрометирован.
     
  • 1.22, kusb (?), 13:26, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в винде есть zlib? Хочу протроянить винду.
    (Или другой BSD лицензированный пакет, который может быть в винде)
    В XP были зип папки.
    Стоп, я же с десятки пишу, можно проверить...
     
     
  • 2.68, Аноним (68), 15:09, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Можешь искать людей с Git for Windows - в нем тоже есть xz
     
  • 2.99, glad_valakas (-), 16:47, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    в cygwin есть и zlib и xz и sshd тоже есть. а вот systemd нету.
     

  • 1.25, Аноним (141), 13:32, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Jigar Kumar в апреле 2022 года способствовал принятию в xz ранних патчей Jia Tan c реализацией поддержки строковых фильтров и оказывал моральное давление на Lasse Collin, тогдашнего сопровождающего, критикуя, что он не способен выполнять свои обязанности и не принимает полезные патчи. В июне Lasse Collin согласился, что проекту нужен новый сопровождающий, посетовал на выгорание и проблемы с психическим здоровьем, и передал право мэйнтейнера Jia Tan.

    Вот что CoC животворящий делает!

     
     
  • 2.175, aname (?), 02:28, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Надеюсь, CoC и дальше будет жить. Потому, что весело.
     

  • 1.29, AKTEON (?), 13:41, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сам напросился и пролез. Всего лишь. А теперь представьте, что там может натворить скромная уругвайская разведка с трешником на подкуп президента ...
     
     
  • 2.44, Аноним (39), 14:03, 30/03/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.146, robot228 (?), 20:25, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я ведь уже блин писал в сети как работает разведка, спецслужбы етк.
    Берётся отправляется американец/китаец/араб или кто угодно в любую страну, женится, появляется ребёнок который начинает учиться и параллельно готовится спецслужбой. Через 30 лет он устраивается в гугл/атомку/ядерку любую область и начинает сливать данные. Эти методы известным всему миру. Этот же чел с 2022 просочился. Эти так сказать интернетные хакеры пока ещё только учится и хорошо что они методы разведки не знают)
    Кстати именно поэтому лидер северной корее не просто исследует генеалогическое древо охранников которых к себе набирает, а и их круг общения. То есть там не в паранойе дело а в контр-методах.
     
     
  • 3.176, aname (?), 02:31, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чел успешно внедрился и всё было хорошо, пока не обосрался на этапе написания хорошего, годного кода.

    В этой истории прекрасно буквально всё.

     
  • 2.167, Отражение луны (ok), 23:42, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это скорее всего она и есть
     

  • 1.53, Rev (?), 14:25, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > В организации продвижения бэкдора также замечены ещё два участника - Jigar Kumar и Hans Jansen, которые, судя по всему, являются виртуальными персонажами.

    Всё-таки надо подтверждать личности разработчиков и мэинтейнеров.

     
     
  • 2.74, timur.davletshin (ok), 15:26, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По паспорту непременно. Чтобы кого надо только были разработчики.
     
     
  • 3.85, Аноним (141), 16:22, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    https://state-services.gov/ ;)
     
  • 2.193, Легивон (?), 08:23, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кем подтверждать?
    "Комитетом подтверждения" образованным RH, Microsoft и иже с ними?
    По мне лучше чтобы раз в пару лет выковыривали такие бекдоры.
     

  • 1.58, birdie (ok), 14:32, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Максим!

    Fedora 40 не была подвержена уязвимости, слава те, господи!

    Я чуть не обо**ался:

    https://lists.fedoraproject.org/archives/list/devel@lists.fedoraproject.o

     
     
  • 2.61, аннаним (?), 14:53, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Jia Tan was very insistent in emails that we should update.

    здесь все джентльмены, а истинные джентльмены верят друг другу на слово

     
     
  • 3.84, Kuromi (ok), 16:13, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не, просто сейчас видят китайское имя и с сомнением прищуривают глаза. Времена-с такие. Прям как во время интернирования американских японцев...
     
  • 2.124, Аноним (124), 19:16, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В Red Hat-овском отчёте сказано: "Fedora Linux 40 users may have received version 5.6.0, depending on the timing of system updates".
     

  • 1.59, Аноним (59), 14:32, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    И опять microsoft за день сделала для опенсорса больше чем все любители вместе взятые.

     
     
  • 2.62, birdie (ok), 14:59, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И всё равно они "зло".
     
     
  • 3.69, Аноним (78), 15:10, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А почему это "лучший друг опенсорса" у тебя "зло"? Кончено, с такими друзьями врагов не надо, но пользы они приносят больше того же гулага.
     
  • 2.64, Аноним (78), 15:02, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты имеешь в виду, что МС и внедрила? Не исключено. Сначала внедряем малварь в полудохлый популярный проект, потом вовремя находим, топим дальше за цифровую тюрьму.
     
     
  • 3.139, scriptkiddis (?), 20:03, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    This!
     
  • 2.161, капитошка2 (?), 22:20, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а причем тут ms? работник из ms нашел уязвимость...
     
  • 2.177, aname (?), 02:33, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Никогда такого не было, и вот опять ©
     

  • 1.60, Аноним (60), 14:38, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ох и ржачная история. Чел с 2022 года, как истинный стратег, шаг за шагом реализовал свой темный коварный план на протяжении двух лет - чтобы потом за месяц его раскусили. У него по ходу не все в порядке с головой.

    Ей богу, даже не верится, что это не какой-то нелепый анекдот.

     
     
  • 2.67, Аноним (67), 15:09, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ох и ржачная история. Чел с 2022 года, как истинный стратег, шаг
    > за шагом реализовал свой темный коварный план на протяжении двух лет
    > - чтобы потом за месяц его раскусили. У него по ходу
    > не все в порядке с головой.
    > Ей богу, даже не верится, что это не какой-то нелепый анекдот.

    Причём здесь человек, это вполне может быть какая-нибудь трёхбуквенная контора.


     
     
  • 3.134, Аноним (127), 19:45, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    sap ?
     
     
  • 4.162, аннаним (?), 22:54, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    p&g
     
  • 2.79, Слава Линуксу (?), 15:49, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Самое интересное, что он не один такой. Другие, пока что не вскрыли свои карты...
     
  • 2.83, Kuromi (ok), 16:11, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    На самом деле нет. Это как в фильмах про вычурные планы ограбления банка - все продумано до мелочей, а потом охранник во время обхода спотыкается, падает, разбивает себе нос, бежит в сторожку и сносит весь план целиком.
    Тут тоже самое, план был хитрый, но вот сложилось так что чел из Микроса решил покопать код от скуки и вот - Скандалы, Интриги, Расследования на опеннете.

    А сколько таких планов успешно завершились? Сколько таких патчей от Мань Дай Чай и Сень Дуй Сам-ов уже давно ждет своего часа?

     
     
  • 3.113, Аноним (-), 18:02, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это художественная выдумка Чем более вычурный план, тем больше в нём точек отка... большой текст свёрнут, показать
     
     
  • 4.202, Аноним (202), 10:34, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это всё при условии что это одиночка, что далеко не факт. Кто бы за этим ни стоял, там может быть сотня таких Джанов Танов пропихивающий вредоносные патчи в тысячи различных полудохлых пакетов, за которыми никто не следит. И вот тут уже, даже если вероятность фейла каждого отдельного Тана 0.9, кто-нибудь из них да преуспеет.
     
     
  • 5.226, Аноним (-), 17:54, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это может работать только в том случае, если такие атаки действительно можно про... большой текст свёрнут, показать
     
  • 2.115, Аноним (115), 18:26, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если чувак на зарплате в чем проблема? Заплатишь 100к бачинских чуваку за внедрение бэкдора, зато какой профит если это дойдет до проадкшен серверов.
     
     
  • 3.187, Аноним (187), 06:30, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    100к за вечный бан на трудоустройство в денежных компаниях как-то слишком дёшево. В принципе мизерная сумма по западным меркам
     
  • 2.147, robot228 (?), 20:28, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ох и ржачная история. Чел с 2022 года, как истинный стратег, шаг
    > за шагом реализовал свой темный коварный план на протяжении двух лет
    > - чтобы потом за месяц его раскусили. У него по ходу
    > не все в порядке с головой.
    > Ей богу, даже не верится, что это не какой-то нелепый анекдот.

    Погоди, хакеры интернетные спустя 40 лет только учиться начинают

    https://www.opennet.me/openforum/vsluhforumID3/133256.html#146

     

  • 1.81, Kuromi (ok), 16:06, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Судя по имени - китайса? С другой стороны, это имя тоже ничего не значит, но внедреж впечатляющий.
     
     
  • 2.93, Аноним (93), 16:40, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Китайцам доверять - себя не уважать. И так во всем, от договоров до их поделок, включая технику и авто.
     
  • 2.101, Аноним (101), 16:53, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уверены,что это имя реального человека?
     
     
  • 3.111, нах. (?), 17:38, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну ты вот каждый фейковый акаунт на шитхабе заводишь на John Smith, или все же на "Васья Пупкин"?

    Вот и китаец вполне реальный, а имя... имя можно от другого китайца, все равно все одинаковые.

     
  • 2.114, Аноним (-), 18:18, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Судя по идиотизму истории, можно сделать вывод что этим занималась бюрократия ил... большой текст свёрнут, показать
     
     
  • 3.179, Аноним (179), 02:38, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ничего себе идиотизм - разработали весьма хитрый способ внедрения малварного кода, провернули блестящую социнженерию, и практически к успеху пришли, были бы чуть аккуратнее, и никто ничего бы еще несколько лет не заметил.  И даже так еще неизвестно, что в версиях до 5.6.x, код ведь уже два года коммитили.
     
     
  • 4.203, Аноним (203), 11:00, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да ещё и блестящая обфускация - код уже второй день ковыряют security-специалисты, но всё равно ещё на 100% не изучили функционал зонда.
     
  • 4.227, Аноним (-), 17:59, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > разработали весьма хитрый способ внедрения малварного кода

    Ты на результат смотри, а не на хитрость кода. Неизбежный провал оказался неизбежен.

    > практически к успеху пришли

    Ага. Факт в том, что не пришли.

    > были бы чуть аккуратнее, и никто ничего бы еще несколько лет не заметил

    Да-да. Шли по минному полю, наступили на мину, и ты теперь рассужаешь, что если бы они не наступили на эту мину, то к успеху бы пришли. Не наступили бы на эту, наступили бы на следующую.

    > И даже так еще неизвестно, что в версиях до 5.6.x, код ведь уже два года коммитили.

    Кек.

    $ xz --version
    xz (XZ Utils) 5.4.5
    liblzma 5.4.5

     
  • 3.184, Аноним (184), 05:12, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > существующими только как ширма, за которой какая-то подковёрная игра происходит

    Ну раз ты это уже знаешь, остается только принять мир таким, каков он есть. И тогда повзрослеешь.

    Тут недавно вон, Томас Бах напрямую признался, что решения он принимает "политические". И по-другому не может.

    Олимпийский комитет ширма, за которой какая-то подковёрная игра?

    Никогда не было и вот опять?

     
     
  • 4.229, Аноним (-), 18:23, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Прежде чем объяснять мне, как взрослеть, тебе бы не помешало бы самому сделать т... большой текст свёрнут, показать
     

  • 1.89, Всем Анонимам Аноним (?), 16:29, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > был зарегистрирован в качестве участника проекта Debian

    туда нормальному человеку вообще не попасть, в Debian, даже если ты захочешь им помочь чем-то

     
  • 1.92, Аноним (92), 16:38, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Заявление от Лассе Коллина, основного разработчика xz: https://tukaani.org/xz-backdoor/

    Он напрямую обвиняет Jia Tan в создании тарболов с бекдором.

     
     
  • 2.107, Аноним (107), 17:25, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Верим-верим, 146% что это не Лассе Коллин под sockpuppetом!
     
  • 2.108, Hamanit (ok), 17:26, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Прекрасно, человек на связи  и теперь дальше может продолжить работу над проектом😀
     

  • 1.97, Аноним (101), 16:45, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если после этого везде выпилят xz, то как тогда работать с архивами tar.xz?
     
     
  • 2.103, Аноним (141), 16:59, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да выкинут тот бекдор вместе с нынешним мейнтером и дальше поедут.
     
  • 2.137, Аноним (169), 19:54, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    7-zip их поддерживает.
     

  • 1.104, Hamanit (ok), 17:00, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    FAQ on the xz-utils backdoor🫡
    https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

    кому то может быть полезно

     
  • 1.105, Аноним (105), 17:06, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вот тут - нашли.
    А интересно, в скольких случаях - не нашли?
     
     
  • 2.130, Аноним (130), 19:31, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В ядре шинды и мака пока что ничего не нашли.
     
     
  • 3.145, Аноним (141), 20:24, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что заобскьюрено.
     
  • 3.186, Аноним (186), 05:55, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну то есть в одном случае нашли и в двух не нашли? Ну тогда свободное по явно в плюсе)
     
  • 3.224, Аноним (224), 17:36, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так там еще только 100 строчек кода на Расте, просто не успели внедрить.
     

  • 1.106, Аноним (106), 17:07, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Linux, Windows, а про Android забыли. В этой стране официальный маркетплейс Google.Play банит российский софт, пользователи вынуждены ставить софт из недостоверных источников. Ставят блобы, предоставляют полный доступ. Такая беспечность не только может привести к порче данных и железа, но может симулировать противозаконную деятельность пользователя, что чревато уголовкой.
     
     
  • 2.129, Аноним (130), 19:31, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Может потому что сайт гугл плей забанен?
     
     
  • 3.198, Аноним (198), 09:41, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    как же это случилось?
     

  • 1.116, люблю Стекляные бусы (?), 18:44, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    История поучительная, но совсем не эпичная.
    И внедряли/маскировали дырочку кривовато и слабовато (даже без модного нонче sleep obfuscation), и нашли быстро.

    Занятно будет, когда подобные патчи будут найдены в каком-нибудь открытом ядре RISC-V.
    Хотя, при правильном подходе, шанс обнаружить стремится к нулю - сильно меньше народу реально понимающего как их можно поиметь.

    А если учесть ходы через последующую смену полярности примеси, то на уровне открытой/доступной (видимой через коммиты и т.п.) шансов обнаружить закладку примерно нет.

    Короче, жду... но видимо еще года три.

     
     
  • 2.157, Аноним (130), 21:18, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Риск5 говорящее название.
     
  • 2.191, n00by (ok), 08:11, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Слабовато - потому что на дату активизации этого китайца надобно обратить прис... большой текст свёрнут, показать
     
     
  • 3.208, аннаним (?), 12:29, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >rosa2023.1-5.6.0-1 2024.02.25    
    >rosa2023.1-5.2.9-1 2022.12.07

    Вывод сокращен или они 2 года не обновляли а потом внезапно решили обновить?

     
     
  • 4.212, Аноним (-), 15:41, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В общедоступной для скачивания Роса Фреш xz 5.2.9. Там вообще достаточно странная политика сопровождения пакетов, например, сейчас curl 8.5.0 с CVE-2024-2466 и CVE-2024-2398.
     
     
  • 5.221, n00by (ok), 17:28, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > вообще достаточно странная политика сопровождения пакетов

    Точно, странная.

    Иностранец за них исправил заменой zx на gz, а через 15 часов пришёл автономный разработчик и написал "это очень странно".


    I've read https://www.openwall.com/lists/oss-security/2024/03/29/4 and came to look which version of xz is in rosa2023.1, and you have already sone this... Thanks! But this is very strange.

    https://abf.io/import/xz/commit/1470895e3c645bb5605b12d5c64d50669b4deb98


     
     
  • 6.234, Аноним (234), 20:05, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Роса 2023.1 ещё не успела выйти, а уже с бэкдором.
     
     
  • 7.247, n00by (ok), 07:59, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, из именно того пакетика бэкдор уже убрали. Зато с 02.25, пока это всё тестировалось на машинах разработчиков, с теми машинами могло случиться много всего интересного. Есть даже отличная от нуля вероятность, что "спалился" троян намеренно, что бы после замены zx на gz автономные разработчики успокоились.
     
  • 4.219, n00by (ok), 17:07, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    rosa2023.1-5.6.1-2 2024.03.30    
    rosa2023.1-5.6.1-1 2024.03.09    
    rosa2023.1-5.6.0-1 2024.02.25    
    rosa2023.1-5.2.9-1 2022.12.07

    rosa2021.15-5.2.9-1 2022.12.07
    rosa2021.1-5.2.9-1 2022.12.07
    rosa2021.1-5.2.5-4 2021.10.07
    rosa2021.1-5.2.5-3 2021.08.11

    Ещё добавил.

    Старую платформу они не обновляют. Новую начали делать и обновили. Самый ранний тег с годом 2023 - это клонирование старой платформы, что видно из даты. "Разработчики" естественно сами должны использовать новую, они же не директор, которому позволительно отвечать на письма с МакОС.)

     

  • 1.120, pelmaniac (?), 19:01, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Когда уже человечишки перестанут писать фичи ради кипиша? Большинство пакетов можно спокойно замораживать, в ядре обновлять только дрова. Ну файлуху путнюю одну дополировать. И будет всем щастье...
     
     
  • 2.151, Аноним (130), 20:56, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Фрибсд по факту заморожен, а толку?
     

  • 1.121, Аноним (121), 19:12, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Все носятся как ошпаренные с Jia Tan и xz-5.6.0, 5.6.1 (Using systemd on publicly accessible ssh: update RIGHT NOW NOW NOW)
    Но ни кто не бросает камни в Debian, которым пришло в голову пропатчить критический сервис удаленного доступа openssh для привязки его к systemd.
    И ради чего? Непатченый openssh замечательно стартует из systemd
    [Service] Type=simple
    Дык нет! Подавай им Type=notify
     
     
  • 2.128, Аноним (130), 19:29, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    При чем тут Дебиан если все так же сделали. И генту и арч и даже Федора роухайд?

    Тут вопросы к Убунту почему она такая замечательная и не повелась на поводу у моды и не обновляется без аудита.

     
     
  • 3.143, Аноним (143), 20:15, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Арч так не делал, на нём не сработало, но на всякий случай откатили назад версию, но под новым номером.
     
     
  • 4.150, Аноним (130), 20:55, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Всё сработало раз объявили критикал https://security.archlinux.org/ASA-202403-1
     
     
  • 5.190, Аноним (143), 07:56, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    вот же по твоей ссылке ясно написано что не подвержено уязвимости:

    Impact
    ======

    The malicious code path does not exist in the arch version of sshd, as
    it does not link to liblzma.

    However, out of an abundance of caution, we advise users to avoid the
    vulnerable code in their system as it is possible it could be triggered
    from other, un-identified vectors.

     
  • 5.204, Аноним (203), 11:06, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не сработало, более того, 5.6.1-1 и 5.6.1-2 оказались бинарно идентичными, просто последний собран из гита, а не протрояненного release-тарболла.
     
  • 3.152, 1 (??), 20:56, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    в генту тоже насколько я понял не срабатывает, так как нет связки с systemd
     
     
  • 4.153, 1 (??), 20:58, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    In Gentoo, we don't patch net-misc/openssh with systemd-notify support which means liblzma, at least in the normal case, doesn't get loaded into the sshd process.
     
  • 4.188, Аноним (187), 06:33, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Gentoo, как всегда, лучше всех. Тем более там и systemd может не быть
     
  • 2.160, Алексей (??), 21:49, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Содержимое deb, rpm пакетов запаковано lzma.
    GCC использует lzma для сжатия отладочной информации.
    lzma используется для сжатия initramfs.

    Злоумышленник толково выбрал слабое место для атаки.

    А инфо-папуасы так и будут орать про "плохой" systemd.

    > Дык нет! Подавай им Type=notify

    Процесс запущен != сервис доступен. Именно поэтому, да, подавай.

     
     
  • 3.166, Аноним (121), 23:40, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Процесс запущен != сервис доступен. Именно поэтому, да, подавай

    Если бы ты еще объяснил инфо-папуасам нахрена systemd (и всем остальным на хосте по D-bus) знать что запущен sshd? Как эта "ценная" информация используется? Поднять sshd, если упал? Так systemd прекрасно это делает и при Type=simple. Причина только одна: "а пусть будет" - так поступают настоящие не инфо-папусы, благодаря которым имеем этот бакдор.

     
     
  • 4.249, Алексей (??), 09:47, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Поднять sshd, если упал?

    Нет. Попытаться снова поднять, если не поднялся.

    > Так systemd прекрасно это делает и при Type=simple.

    Не всегда. Бывают состояния вида "sshd запустился, а порт слушать не может", "sshd запустился, а прочитать (kerberos) keytab не смог", и ещё 100500 ситуаций, которые не укладываются в "процесс не запустился/упал".

     
     
  • 5.256, Аноним (121), 14:07, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Бывают состояния вида "sshd запустился, а порт слушать не может"

    Ну как в этом случае тебя спасет Type=notify? Возьмешь ноут и срочно поедешь в ЦОД, работать локальным systemd :-)

     
     
  • 6.262, Аноним (259), 20:10, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если notify вызывается в нужном месте кода, после открытия порта, получения kerberos и т.п., то проблемы с этим и как следствие отсутствие notify заставит systemd перезапустить sshd.
     
  • 3.270, pavlinux (ok), 16:33, 02/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Мимо!

    > Содержимое deb, rpm пакетов запаковано lzma.

    lzma (since dpkg  1.14.0;  deprecated)

    > GCC использует lzma для сжатия отладочной информации.

    https://gcc.gnu.org/onlinedocs/gcc/Debugging-Options.html
    -gz[=type]
    Produce compressed debug sections in DWARF format, ...

    gcc: note: valid arguments to ‘-gz=’ are: none zlib zlib-gnu


    > lzma используется для сжатия initramfs.

    Везде, из коробки GZIP.  Дистры васянов не изучал.  

     
  • 2.235, Аноним (235), 21:06, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, тоже удивило Либо этому факту 0 внимания, либо ыыыааа снова systemd Проц... большой текст свёрнут, показать
     
     
  • 3.239, Аноним (121), 23:25, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это все понятно и даже выглядит логично.
    НО!
    Можешь подсказать, или даже придумать гипотетический сервис (только более-менее реальный), которому требуется запуск After=sshd?
     
     
  • 4.240, Аноним (235), 00:04, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы sshd включался при runlevel 3, у его юнита в секции [Install] написано WantedBy=multi-user.target.

    У multi-user.target (он же в былые времена runlevel 3) неявно присутствует After= на всё, что поставило себе WantedBy=multi-user.target. Все, кто After=multi-user.target, окажутся и After=sshd.service тоже.

     
     
  • 5.241, Аноним (121), 00:21, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос был о другом. Какому сервису *требуется* старт After=sshd, не важно явно или через multi-user.target? Иными словами: какой сервис не сможет функционировать, если не запущен sshd?
    Нет таких сервисов.
    И вот ради добавления бесполезного функционала, в реальности абсолютно невостребованного, Debian опять сдуру лезет патчами в security приложения. Патч openssl в 2008 г. их ни чему не научил (OpenSSL Random Number Bug in Debian Linux https://www.schneier.com/blog/archives/2008/05/random_number_b.html)
     

  • 1.138, Аноним (136), 20:01, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Ну да, только даже gzip сжимает лучше.

    На Пенни. Сейчас мир больших облаков и HDD, чего мелочиться как детям.

     
  • 1.144, Аноним (144), 20:22, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот что выходит когда пренебрегают безопасным языком, который умеет безопасно работать с памятью.
     
     
  • 2.225, Аноним (224), 17:47, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Бэкдоры обнаруживают, а не спят годами в cargo?
     

  • 1.155, Аноним (-), 21:14, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Уровень эпичности всей этой истории - 98%. Операция длилась два года и такой провал и все из-за того что какой-то Andres Freund не в свое дело полез. Представляю как наверное обидно.

    История с внедрением бэкдора началась в 2022-м. Предствляю как сейчас в каком-нибудь институте ребят успокаивают, ничего, в следующий раз лучше получится.

     
     
  • 2.156, Аноним (130), 21:16, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тут надо смотреть что первичнее Андрес или жор процессора в определенных условиях. Ведь не было бы последнего прокола никто бы может и не полез смотреть что там.
     

  • 1.159, Аноним (159), 21:36, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Санта Барбара. Садить надо за такое, найти и посадить, чтобы неповадно было.
     
     
  • 2.195, Аноним (195), 09:15, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну найди.
     

  • 1.163, AKTEON (?), 23:20, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати говоря, закачал сейчас последний veracrypt на  debian testnig .
    Вылет на линковке
    (process:43033): GLib-GObject-CRITICAL **: 23:18:02.881: g_object_get: assertion 'G_IS_OBJECT (object)' failed
    free(): invalid pointer
    Aborted (core dumped)
    make[1]: *** [Main.make:165: veracrypt] Error 1
    make: *** [Makefile:529: all] Error 2

    У меня закрадываются подозрения ...

    Если там падает сам линкер ....

     
     
  • 2.165, Аноним (78), 23:34, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Подозрения, что ты скачал файлы собранные под другой дистрибутив?
     
     
  • 3.168, авпапварт (?), 23:43, 30/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Подтверждаю.
    git clone https://github.com/veracrypt/VeraCrypt
    git log commit 6e28375060e043e9039bac4d292ecbcc5e94b08d (HEAD -> master, origin/master, origin/HEAD)
    Author: Mounir IDRASSI <mounir.idrassi@idrix.fr>
    Date:   Sat Dec 16 00:51:36 2023 +0100
    cd /veracrypt/src/Build
    ./build_cmake_deb.sh
    Падение на сборке
     
  • 2.171, Аноним (171), 01:48, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в wxWidgets, решение там приведено

    https://github.com/veracrypt/VeraCrypt/issues/1263

     
  • 2.181, Аноним (181), 02:52, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Бросайте этот veracrypt, заместо него есть LUKS. Или хочется GUI и еще один вектор атаки на систему?
     
     
  • 3.201, Аноним (198), 10:01, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И как будет работать LUKS при установке другого дистрибутива с другой версией ядра?
     
     
  • 4.207, Аноним (-), 12:17, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нормально. Я даже флэшки им шифрую.
     
  • 4.246, Грязный Гарри (-), 05:45, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > И как будет работать LUKS при установке другого дистрибутива с другой версией ядра?

    Прекрасно будет работать, потому что хранит параметры шифрации в своём заголовке. При открытии крипто-контейнера параметры считываются оттуда.

     
  • 2.250, Алексей (??), 09:57, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > (process:43033): GLib-GObject-CRITICAL **: 23:18:02.881: g_object_get: assertion 'G_IS_OBJECT (object)' failed
    > free(): invalid pointer
    > Aborted (core dumped)
    > Если там падает сам линкер

    1) Ни GNU ld (binutils), ни lld (llvm) НЕ используют glib.
    2) Если падает компоновщик, значит в нём есть ошибка (его тоже не ангелы небесные писали).

     

  • 1.164, Аноним (78), 23:34, 30/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Некоторые пакеты статически линкуют libunwind и статическая libunwind требует статические файлы xz-utils. У меня ощущение, что планы были большие, спешка обернулась провалом. Есть причины нервничать?
     
     
  • 2.172, Sw00p aka Jerom (?), 01:51, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >У меня ощущение, что планы были большие, спешка обернулась провалом.

    поживем увидем :)
    Это должна была быть ответкой, своего рода в час Х. Ну вот и в спешке накосячили конкретно. Пахнет знакомым "распи**дяйством" :)

     

  • 1.178, Аноним (198), 02:33, 31/03/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.180, Аноним (198), 02:46, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот дурень, сперва надо было получить все награды от гугла, а потом палиться.
     
  • 1.194, Аноним (-), 08:35, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Альт неуязвим!
     
     
  • 2.205, аннаним (?), 11:25, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не обновляли хз с 2021 года. Красавцы :)
     
     
  • 3.213, Аноним (-), 15:51, 31/03/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.209, mustai (ok), 15:01, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Технично. Социальная инженерия для смены сопровождающего. Исправление бага через создание вредоносной функции. Отключение проверки функции под предлогом, что проверка её ломает.
     
  • 1.210, Аноним (101), 15:05, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чтобы избавиться от бэкдора достаточно вернуть xz-5.4?
     
     
  • 2.237, Аноним (-), 22:12, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да, но вас могли уже взломать.
     

  • 1.217, Аноним (217), 16:58, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В июне Lasse Collin согласился, что проекту нужен новый сопровождающий, посетовал на выгорание и проблемы с психическим здоровьем ...

    Оказывается выгорание очень опасно. У меня сначало было выгорание на неделю, потом на две, потом я восстанавливался месяц, потом два, три. Потом не мог восстановиться год. Недавно мне досталась по работе очень сложная задача с контейнерами под винду. Месяц я возился. Потом полтора месяца отдыхал. А потом началось, свист в ушах, головокружение. Это длилось неделю, потом я узнал, что нужно пить таблетки циннаризин. Вот уже месяц на таблетках, вроде как нужно пить полгода. Вот такие дела. Осторожнее с выгоранием.

     
     
  • 2.228, АнонПапка (?), 18:23, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Недавно мне досталась по работе очень сложная задача
    > с контейнерами под винду. Месяц я возился. Потом полтора месяца отдыхал.
    > А потом началось, свист в ушах, головокружение.

    🤣🤣🤣 вы там осторожней с контейнерами под винду! Контейнеры надо юзать в Линаксе, тогда свиста в ушах не будет 😂

     
  • 2.267, Алексей (??), 08:56, 02/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.232, Аноним (224), 18:58, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хорошо что вообще обнаружили, причем благодаря случайности. А сколько таких же спящих бэкдоров дожидается своего времени например в репозитории cargo? Все же невозможно проверить.
     
     
  • 2.236, Аноним (-), 21:47, 31/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Посмотрел репозиторий Cargo - там нет ни макросов m4, ни automake, только несколько bash скриптов для CI.
     
     
  • 3.244, Neon (??), 04:57, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А сколько в самом годе сидит. Ведь никто не будет каждый файл исходников досконально проверять и исследовать логику его работы
     

  • 1.238, Аноним (238), 23:01, 31/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сильно намудрил он с бекдором. Если бы процесс сборки и производительность не давали сбоев, никто бы не
    полез ковырять исходники и в теории можно было бы пропихнуть это дело в стабильные релизы дистров.
    А так всего пара мамкиных линуксойдов которые сидят на unstable ветках.
     
     
  • 2.272, sunjob (ok), 13:51, 03/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    да вы, прямо, переживает что "их" отловили?! :о)
     

  • 1.248, Аноним (248), 09:14, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Интересно, а сколько ещё не выявленных задних дверей в других пакетах прячется? Скорее всего это только вершина айсберга.
     
  • 1.255, Аноним (255), 13:46, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  оказывал моральное давление на Lasse Collin, тогдашнего сопровождающего, критикуя, что он не способен выполнять свои обязанности и не принимает полезные патчи

    Вот, отличное доказательство того, что критиков надо слать на три буквы не стесняясь.

     
     
  • 2.257, Аноним (257), 14:34, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот, отличное доказательство того, что критиков надо слать на три буквы не стесняясь.

    Правильно, критики они же все хотят тебя подсидеть!
    Не может быть что в их критике есть рацианальное зерно!
    А потом будешь думать, а почему все разбежались и я проект сижу и пилю в одиночку)


     
     
  • 3.263, Аноним (263), 23:06, 01/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Таких, как эти Jigar Kumar и Hans Jansen 8212 да Ты открой почитай, там supe... большой текст свёрнут, показать
     
  • 3.271, sunjob (ok), 13:50, 03/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    обычно-же критиканы пилят и поддерживают проекты?! :о)
     

  • 1.268, Аноним (-), 14:20, 02/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Модель с тестированием и обкаткой приложений перед выпуском в официальный релиз еще раз доказала свою работоспособность. +1 Debian
     
  • 1.269, pavlinux (ok), 16:18, 02/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Получив права мэйнтейнера Jia Tan стал активно добавлять

    Дальше не интересно

     
  • 1.273, Аноним (-), 18:08, 03/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    FreeBSD не зацепило.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру