Bbabo NET

Wetenschap & Technologie Nieuws

De XZ-projectrepository is terug op GitHub

Linux-datacompressietool xz-Utils is terug op GitHub nadat een achterdeur werd ontdekt. xz-Utils-ontwikkelaar Lasse Collin maakte op zijn website bekend dat hij verschillende wijzigingen heeft doorgevoerd, onder meer in het beveiligingsbeleid.

Hij beloofde de achterdeur in versie 5.6.0 en 5.6.1 te verwijderen en een artikel te schrijven over hoe deze in de releases terecht is gekomen en welke lessen daaruit kunnen worden getrokken. Terwijl de ontwikkelaar de details bestudeert, geeft hij prioriteit aan het controleren van de repository.

Colleen moedigt mensen ook aan om kwetsbaarheden niet direct na ontdekking bekend te maken, maar de gegevens eerst aan hem te melden. Hij belooft in de nabije toekomst updates uit te brengen om geïdentificeerde bugs op te lossen.

Colleen zal de masterbranch waarschijnlijk volledig herschrijven om kwaadaardige bestanden te verwijderen en te voorkomen dat antivirussoftware wordt geactiveerd. De stabiele versie van xz Utils zal hoogstwaarschijnlijk onmiddellijk nummer 5.8.0 krijgen (waarbij 5.7 wordt overgeslagen). Voorlopig is de nieuwste stabiele versie die beschikbaar is op GitHub 5.4.6.

De kwetsbaarheid in xz Utils was gebaseerd op een supply chain-aanval. Om het te implementeren moest een aanvaller of groep twee jaar lang in de gunst komen bij de open source-gemeenschap om beheerdersrechten te verkrijgen en de benodigde code te implementeren. De achterdeur werd ontdekt door Microsoft-ontwikkelaar Andres Freund, die merkte dat zijn computer langzamer werd.

Er wordt opgemerkt dat een hacker of groep genaamd “Jia Tan” al meer dan twee jaar wijzigingen aan de tool heeft aangebracht, inclusief “nuttige” wijzigingen. Daarbij zette het Linux-distributeurs onder druk om gecompromitteerde versies van xz op te nemen vanwege vermeende nieuwe functies.

Via de achterdeur konden aanvallers ongeautoriseerde toegang krijgen tot systemen via gecompromitteerde toolcomponenten door code in te voeren tijdens het SSH-inlogproces. Het is ingebouwd in de xz- of liblzma-pakketten (bevat xz) versies 5.6.0 en 5.6.1. Om ifunc te laten werken, controleert de achterdeur de systeemarchitectuur en de aanwezigheid van de glibc-bibliotheek op het systeem. De payload wordt geactiveerd wanneer een programma met procesnaam /usr/sbin/sshd draait.

Versies xz 5.6.0 en 5.6.1 kwamen in slechts een paar Linux-distributies terecht, en de meeste daarvan zijn ontwikkelings-, test- of experimentele versies die niet regelmatig worden gebruikt.

De XZ-projectrepository is terug op GitHub