The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проект XZ опубликовал результат аудита коммитов и первое обновление после выявления бэкдора

30.05.2024 14:18

Лассе Коллин (Lasse Collin), автор и сопровождающий проекта xz, недавно давший права второму сопровождающему Jia Tan, деятельность которого привела к внедрению бэкдора, опубликовал корректирующие выпуски пакета XZ Utils 5.2.13, 5.4.7 и 5.6.2, в которых удалены компоненты бэкдора и прочие подозрительные изменения, ранее принятые от Jia Tan.

Кроме того, опубликован отчёт о рецензировании Git-репозитория и изменений, добавленных с декабря 2022 года во время нахождения Jia Tan на посту сопровождающего. Изменения разобраны на уровне отдельных коммитов. Коммиты в репозитории не были заверены цифровой подписью, но следов подделки со стороны коммиттеров не выявлено. Всего из репозитория удалено 8 вредоносных коммитов.

Из кодовой базы пока не удалён код CRC CLMUL, приводящий к ложным срабатываниям при проверке в MSAN (Memory sanitizer) и проблемам с OSS Fuzz. В дальнейшем данный код планируют переработать, но пока его решено не трогать, чтобы избежать регрессий в старых ветках. Подозрительных изменений в старых коммитах, добавленных до внесения изменений, связанных с продвижением бэкдора, не выявлено. Отдельно были проверены po-файлы локализации, метаданные в файлах tar и архивы с релизами и переводами.

Из изменений также отмечается включение накопившихся исправлений ошибок и удаление поддержи механизма IFUNC, предоставляемого в Glibc для косвенного вызова функций, который был задействован для организации перехвата функций в бэкдоре. Отмечено, что использование IFUNC лишь усложняет код, а выигрыш в производительности от него несущественный. В качестве перестраховки из пакета c исходными текстами также удалены логотип XZ, PDF-версии man-страниц и два теста для архитектур x86 и SPARC, в которых в качестве входных данных обрабатывались объектные файлы.

Из новшеств в декодировщик xzdec добавлена поддержка 4 версии ABI механизма изоляции приложений Landlock. В сборочные скрипты Autotools добавлена опция "--enable-doxygen", а в сценарии Cmake параметр ENABLE_DOXYGEN для генерации и установки документации на API liblzma, используя Doxygen. Уже сгенерированная документация удалена из пакета.

  1. Главная ссылка к новости (https://www.mail-archive.com/x...)
  2. OpenNews: В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd
  3. OpenNews: Ретроспектива продвижения бэкдора в пакет xz
  4. OpenNews: Разбор логики активации и работы бэкдора в пакете xz
  5. OpenNews: В кодовой базе xz выявлено изменение, мешавшее включению механизма защиты Landlock
  6. OpenNews: Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61275-xz
Ключевые слова: xz, backdoor
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:10, 30/05/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –17 +/
     
  • 1.2, Аноним (2), 15:11, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Может старый сопровождающий тоже наделал бекдоров до 2022 года
     
     
  • 2.50, Аноним (50), 18:36, 31/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Может старый сопровождающий тоже наделал бекдоров до 2022 года

    Виндой пользуйся, там даже и гадать не надо - заведомо известно что бэкдоры есть. И не надо греть мозг всякими глупостями :)

     

  • 1.3, Аноним (3), 15:14, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > 5.2.13, 5.4.7 и 5.6.2

    Нафига столько релизов? Это не мегасложный проект, где есть смысл в нескольких релизных ветках. А здесь-то зачем?

     
     
  • 2.4, НяшМяш (ok), 15:24, 30/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для всяких любителей окамен^Wстабильного - там страшно с 5.2 сразу на 5.4 переезжать.
     
     
  • 3.6, Аноним (6), 15:28, 30/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >с 5.2 сразу на 5.4 переезжать

    Зачем? Про "бритву Оккама" знаешь?

     
     
  • 4.13, Аноним (13), 16:07, 30/05/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А ты слышал про окно Овертона?
     
     
  • 5.15, Аноним (15), 16:28, 30/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чуть что, сразу приплетают окно Овертона
     
     
  • 6.20, Аноним (20), 16:56, 30/05/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Что характерно это и есть окно Овертона.
     
     
  • 7.29, Аноним (29), 17:59, 30/05/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    В приоткрытое окно Овертона показалась бритва Оккама
     
     
  • 8.30, Аноним (-), 18:07, 30/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    О, это еще приемлемо А то мало чего еще Оккам в окно показывать может ... текст свёрнут, показать
     
  • 4.44, Аноним (44), 00:10, 31/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Интернет умники забывают, что бритва Оккама применима для выбора из нескольких гипотез более простой. А не вообще для всего, включая выбор девушки, блюда на ужин и имени ребенку.
     
     
  • 5.48, Аноним (48), 09:13, 31/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не более простой , а наиболее подходящей? "Простой" субъективно..
     
  • 5.52, Аноним (-), 18:54, 31/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чего Вполне, в смысле Многообразие не следует предполагать без необходимости ... большой текст свёрнут, показать
     
  • 5.53, noc101 (ok), 23:41, 31/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да и про Окно Овертона тоже самое. Везде применяют, где можно и нельзя.
     

  • 1.7, Аноним (-), 15:45, 30/05/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –7 +/
     
  • 1.12, Аноним (13), 16:06, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –18 +/
    На самом деле его звали Li Si Tsin. А так сколько уже можно эту тему мусолить ну внедрили и внедрили Трой. Можно подумать в первый раз. Софт должны писать корпарации. Билл Гейтс всё подробно изложил в своём письме 1976 года всем любителям открытого софта.
     
     
  • 2.14, Аноним (14), 16:14, 30/05/2024 [^] [^^] [^^^] [ответить]  
  • +10 +/
    А вот по мнению БГ корпорации тебе вообще нифига не должны, читай EULA и плати за троянизацию и AI-майора прямо в облачке
     
     
  • 3.25, Аноним (20), 17:08, 30/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну конечно. Если такой трой например всплывёт в госорганизации США. У троя будет и имя и фамилия и адрес проживания. А владельцам компании такие приколы не нужны.
     
     
  • 4.38, Аноним (38), 19:30, 30/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А владельцам компании такие приколы не нужны.

    А кто их спрашивать-то будет?

     
  • 4.45, Аноним (45), 02:59, 31/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего не будет. Американцы не будут топить мелкософт. А адрес если и будет, то какого-то линейного малозначащего сотрудника или менеджера которого давно хотели убрать. Настоящих ЛПР никогда не уберут и всячески прикроют (ну и у тех наверняка папочка с гнусными делами иелкософта которые окажутся у журналистов при их увольнении).
     

  • 1.16, ryoken (ok), 16:29, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >>выигрыш в производительности от него не существенный.

    Несущественный.

     
  • 1.17, Аноним (17), 16:31, 30/05/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     

  • 1.18, Аноним (18), 16:46, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Старый конь борозды не испортит.
     
  • 1.31, birdie (ok), 18:10, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    А можно удалить к х*рам XZ из Linux? Это безумие на основе LZMA на фиг больше не нужно:

    https://lzip.nongnu.org/xz_inadequate.html

    Есть канонический 7-zip, а для вменяемых есть ZSTD - сжимает чуть хуже, зато скорость распаковки на порядок выше.

     
     
  • 2.37, Саркофандр (?), 19:11, 30/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что интересно, в Арче zstd тянет xz как зависимость, а в Дебиане zstd тянет liblzma, который, как я понял, есть часть xz.
     
     
  • 3.42, yet another anonymous (?), 22:09, 30/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    zstd --- это wrapper над пачкой компрессоров.
     
  • 2.46, OpenEcho (?), 07:48, 31/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > а для вменяемых есть ZSTD - сжимает чуть хуже

    зато память жрет как взрослый

     
  • 2.49, Аноним (49), 10:17, 31/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот тебе не нужно у себя и удаляй, а мне под бэкапы 0.7% дают гигабайты и пофиг мне сколько оно распаковывается
     

  • 1.43, Аноним (43), 22:17, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я так и не понял кто плохиш - "старый" передал "новому", вредоносные изменения внес "прошлый". Но они оба "прошлые".
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру