Linux инструментът за компресиране на данни xz-Utils се завърна в GitHub, след като беше открита задна врата. Разработчикът на xz-Utils Ласе Колин обяви на своя уебсайт, че е направил няколко промени, включително в политиката за сигурност.
Той се ангажира да премахне задната врата във версии 5.6.0 и 5.6.1 и да напише статия за това как тя се е озовала в изданията и какви поуки могат да бъдат извлечени от нея. Докато разработчикът изучава подробностите, той дава приоритет на проверката на хранилището.
Колийн също насърчава хората да не разкриват уязвимостите веднага след като бъдат открити, а първо да докладват данните на него. Той обещава да пусне актуализации за коригиране на идентифицирани грешки в близко бъдеще.
Колийн вероятно ще пренапише изцяло главния клон, за да премахне злонамерени файлове и да избегне задействането на антивирусен софтуер. Стабилната версия на xz Utils най-вероятно веднага ще бъде номерирана 5.8.0 (пропускайки 5.7). Засега най-новата стабилна версия, налична в GitHub, е 5.4.6.
Уязвимостта в xz Utils се основава на атака по веригата на доставки. За да го приложи, нападател или група трябваше да се примири с общността с отворен код в продължение на две години, за да получи права за поддръжка и да внедри необходимия код. Задната врата е открита от разработчика на Microsoft Андрес Фройнд, който забелязал, че компютърът му се забавя.
Отбелязва се, че хакер или група на име „Jia Tan“ прави промени в инструмента, включително „полезни“, повече от две години. По този начин той оказва натиск върху дистрибуторите на Linux да включат компрометирани версии на xz поради предполагаеми нови функции.
Задната вратичка позволи на нападателите да получат неоторизиран достъп до системи чрез компрометирани компоненти на инструмента чрез вмъкване на код по време на процеса на влизане в SSH. Той е вграден в пакетите xz или liblzma (съдържа xz) версии 5.6.0 и 5.6.1. За да работи ifunc, задната вратичка проверява системната архитектура и наличието на библиотеката glibc в системата. Полезният товар се активира, когато се изпълнява програма с име на процес /usr/sbin/sshd.
Версии xz 5.6.0 и 5.6.1 се озоваха само в няколко Linux дистрибуции и повечето от тях са разработка, тестови или експериментални версии, които не се използват редовно.
bbabo.Net